По данным аналитики цепочки, бот Jaredfromsubway на блокчейне Ethereum был скомпрометирован, и злоумышленники похитили активы на сумму более 15 миллионов долларов, а в предупреждении Blockaid говорится о первоначальных потерях в 7,5 миллионов долларов.
Обзор атаки
Система обнаружения уязвимостей Blockaid отметила взлом как манипуляцию с автоматизированной процедурой выполнения бота MEV, а не как традиционную схему фишинга. В предупреждении указывалось, что эксплойт перенаправил бота для проверки токенов для контрактов, принадлежащих злоумышленникам, предоставив им немедленные полномочия на расходование средств.
Техническая механика
Хакеры представили поддельные токены-обертки — fWETH, fUSDC, fUSDT — и соединили их с сфабрикованным токеном fCAP для создания обманных пулов ликвидности. Бот MEV интерпретировал эти договоренности как выгодные арбитражные маршруты, автоматически одобряя вспомогательные контракты злоумышленников, которые затем были истощены разрешенными активами.
Влияние на рынок
Инвесторы, наблюдающие за рынком криптовалют, теперь рассматривают этот инцидент как напоминание о рисках, присущих автоматическим торговым ботам, особенно тем, которые работают на нестабильных платформах блокчейна. Внезапная потеря многомиллионных позиций может оказать давление на цену Ethereum и связанных с ним активов, что приведет к ужесточению мер безопасности во всей экосистеме.