Jaredfromsubway 交易机器人周六遭受了 750 万美元的盗窃,将其核心逻辑暴露给恶意行为者,并促使机器人操作员针对该漏洞提供赏金。
攻击概述
当攻击者利用伪造代币和流氓智能合约向机器人进行大量欺骗性交易时,事件就发生了。监控此次泄露的安全公司 Blockaid 报告称,该计划允许犯罪者窃取合法资金,同时机器人继续扫描有利可图的交易。
漏洞利用机制
Jaredfromsubway 通常会执行三明治攻击——在待处理交易之前和之后下订单,以操纵去中心化交易所的价格执行。在这种情况下,机器人被诱骗授予转移资产的权限,这是其自动化策略所需的步骤,攻击者利用该步骤来耗尽资本。
后果和市场影响
泄露后,部分被盗加密货币通过 Tornado Cash(区块链上专注于隐私的混合器)进行传输。关注这一事件的投资者注意到对自动交易机器人的严格审查,而加密货币市场吸收了冲击,但整体价格水平没有出现明显变化。