Ethereumi Jaredfromsubway MEV-bot tühjendati pärast seda, kui see ise heaks kiitis oma 7,5 miljoni dollari suuruse varguse

Jaredfromsubway MEV-bot, mis on seotud umbes 70% Ethereumi „sandwich”-ründega, kaotas üle 7,5 miljoni dollari, kui selle automaatsüsteem andis ründajat kontrollivatele lepingutele loa oma tokenite kulutamiseks.

Bot, mida tuntakse nimega Jaredfromsubway.eth, andis loa mitmele tehingule, mis näisid olevat osa kasumlikust kaubandusmarsruudist. Need õigused olid edasi kehtivad, võimaldades ründajal eemaldada keerdunud etherit (wrapped ether) ja kaks suurt stabiilset valuutat (stablecoin) tehinguga seotud lepingutest.

See juhtum põhjustas tegelikult ühe Ethereumi suurimatest ekstraktiivsetest kaubandussüsteemidest enda enda varade varastamise heaks kiitmise. See rõhutab ka automaatsete kauplejate ees seisvat ohu, kes peavad turge hindama, lepinguid heaks kiitma ja tehinguid täitma sekundite jooksul.

Onchain turvafirma Blockaid teatas, et ründaja ei kompromiteerinud bota privaatsihte võtmeid ega kasutanud ära vigu laialt kasutatavas decentraliseeritud rahanduse (DeFi) protokollis. Selle asemel sihtis operatsioon bota reegleid, mille järgi ta tuvastas ja järgis potentsiaalseid kasumeid.

Kuidas Jaredfromsubway.eth-i varad ära kasutati

Blockaidi andmetel oli ründaja veerandaja aega kasutanud imitatsioonitokenite, likviidsusfondide ja toetavate lepingute loomiseks, mis sarnanesid turgudele, mille vastu bot tavaliselt kauplemist teeb.

Pseudovarad hõlmasid keerdunud Ethereumi (wrapped Ethereum), USDC-d ja USDT-d versioone, mille kaubandusmarsruudid olid disainitud nii, et need genereeriks kasumliku väljanägemisega signaale. Jaredfromsubway.eth tuvastas need marsruudid ja järgis oma tavapärast protsessi, andes abi-lepingutele loa liigutada tokeneid oodatavate tehingute raames.

Mõned esimesed tehingud kasutasid õigusi nii, nagu oli ette nähtud, aitades luua mustrit, mille bota süsteem edasi aktsepteeris. Hilisemad tehingud jätsid aga andnud õigused kasutamata.

See erinevus andis ründajale avause ERC-20 loata (approval) kaudu, mis võimaldab teisel aadressil või tarklepingul kulutada kindla summa tokeneid, mis kuuluvad loa andnud kontole.

Selline loa võib jääda kehtima pärast esialgset tehingut, kuni see on täielikult kasutatud, vähendatud või tühistatud.

Kui ründaja oli kogunud piisavalt kasutamata loataid, kasutasid tema lepingud ERC-20 funktsiooni transferFrom, et liigutada tegelikke WETH-, USDC- ja USDT-tokeneid bota kontolt.

Onchain kirjed näitavad korduvaid tehinguid, mille kokkuhind on umbes 92 WETH, 143 000 dollarit USDC-d ja 149 000 dollarit USDT-d lepingust, mis oli seotud bota. Rahad suunati ründaja kontrolli all olevasse aadressi.

Yearn Finance arendaja Banteg kirjeldas lõplikku operatsiooni pigem kui loata ärakasutusena (allowance drain) kui tavapärase tokenivahetuse. Koordineeriv leping kutsub välja väljamakse funktsiooni kümnete tütarlepingute kaudu, mis kontrollivad bota saldo ja nende järelejäänud õigusi enne saadaolevate tokenite üleandmist.

Osad saadud rahad saadeti hiljem läbi Tornado Cashi – krüptovaluuta segamiste teenuse, mis võib rahade jälgimist raskendada.

Dominantne „sandwich”-operaator muutub ise sihtmärgiks

Jaredfromsubway.eth on tegutsenud alates 2023. aastast ja sai üheks silmapaistvamaks osalejaks Ethereumi maksimaalse ekstraheritava väärtuse (MEV) turul.

MEV viitab tulu saamisele blokkahela tehingute töötlemise järjekorra muutmisel. „Sandwich”-ründes tuvastab bot ootel oleva tehingu ja ostab esmalt vara, tõstes selle hinda. Seejärel täidetakse kasutaja tehing halvema hinna puhul, millele järgneb bota müük ja kasumite saamine.

Selle tõttu oli Jaredfromsubway.eth üks silmapaistvamaid „sandwich”-ründe botte Ethereumis, kuni sama automaatika muutus teekonnaks ka tema enda fondide juurde.

Igaühele kauplejale tekkiv kaotus võib olla väike. Siiski võib selline strateegia tuhanded tehingud kokku moodustada olulise tuluna, samas kui see suurendab kauplemiskulusid ja võrgu tasusid.

Raportide kohaselt põhjustasid need ründed kauplejatele ligikaudu 60 miljoni dollari aastas kulusid, millest umbes 70% oli seotud ühe operaatoriga, keda identifitseeriti kui Jaredfromsubway.eth.

Artikkel „Ethereumi Jaredfromsubway MEV-botti varad ära kasutati pärast selle enda 7,5 miljoni dollari varastamise heaks kiitmist“ ilmus esmakordselt CryptoSlate’is.