В субботу торговый бот Jaredfromsubway пострадал от кражи на сумму 7,5 миллионов долларов, что раскрыло его основную логику злоумышленнику и побудило оператора бота предложить награду за эксплойт.
Обзор атаки
Инцидент произошел, когда злоумышленник заполонил бота мошенническими транзакциями, используя поддельные токены и мошеннические смарт-контракты. Blockaid, охранная фирма, следившая за взломом, сообщила, что эта схема позволила злоумышленнику выводить законные средства, в то время как бот продолжал сканировать прибыльные сделки.
Механика эксплойта
Jaredfromsubway обычно применяет сэндвич-атаки — размещает ордера до и после отложенных сделок, чтобы манипулировать исполнением цен на децентрализованных биржах. В этом случае бота обманом заставили предоставить разрешение на перемещение активов — шаг, необходимый для его автоматизированной стратегии, которую злоумышленник использовал для выкачивания капитала.
Последствия и влияние на рынок
После взлома часть украденной криптовалюты была направлена через Tornado Cash, микшер на блокчейне, ориентированный на конфиденциальность. Инвесторы, наблюдавшие за инцидентом, отметили повышенное внимание к автоматическим торговым ботам, в то время как рынок криптовалют отреагировал на шок без заметного изменения общего уровня цен.