ru.bitcoinsistemi.com
Сообщается, что Jaredfromsubway, один из самых известных ботов MEV в сети Ethereum, подвергся атаке, в результате которой были украдены активы на миллионы долларов.
Согласно сообщению сообщества, опубликованному Blockaid, система обнаружения уязвимостей компании выявила атаку, направленную на бота jaredfromsubway MEV в сети Ethereum. Первоначальные оценки показывают, что злоумышленники манипулировали автоматизированным механизмом выполнения MEV бота, направив систему на проверку токенов для контрактов, находящихся под их контролем.
Компания Blockaid заявила, что в результате инцидента были украдены активы как минимум на 7,5 миллионов долларов, в то время как источники в блокчейне указывают на то, что общий ущерб превысил 15 миллионов долларов. Компания добавила, что инцидент не был классической фишинговой атакой или традиционной уязвимостью смарт-контракта в контракте жертвы.
Атака была основана на обмане механизма бота, отвечающего за автоматическую оценку, казалось бы, прибыльных возможностей для MEV. Злоумышленники создали поддельные токены-оболочки и пулы ликвидности, сопоставив поддельные маршруты, такие как fWETH, fUSDC и fUSDT, с токенами fCAP. Эти транзакции представлялись боту MEV как выгодные арбитражные возможности.
В результате бот одобрил вспомогательные контракты, контролируемые злоумышленниками, как адреса с правом расходования средств. В ходе первоначальных тестовых операций было отмечено, что предоставленные одобрения немедленно расходовались в рамках маршрута и не оставляли после себя никаких постоянных разрешений. Однако в последующих операциях злоумышленники создавали маршруты, которые бот одобрял, но где это разрешение не расходовалось и не отзывалось.
*Это не инвестиционная рекомендация.