Un attaccante ha prosciugato circa 7,5 milioni di dollari dal bot MEV JaredFromSubway, uno dei sistemi di sandwich-attack più attivi su Ethereum, dopo averlo indotto ad approvare la spesa di token che non avrebbe mai dovuto concedere.
La società di sicurezza Blockaid, che ha segnalato l’incidente, ha spiegato che il bot non è stato colpito da un bug nello smart contract, da un attacco di phishing o da una fuga di chiavi private. Invece, l’attaccante ha utilizzato contro il bot stesso la sua logica orientata al profitto.
Come il bot MEV è stato ingannato
Il bot MEV JaredFromSubway utilizza una strategia automatica che scandaglia la mempool di Ethereum alla ricerca di trade redditizi. Questa pratica è conosciuta come maximal extractable value.
Il bot anticipa e segue altri trade per catturare la differenza di prezzo, una tattica nota come sandwich attack.
Il bot è diventato famoso nell’aprile 2023. In un solo giorno, ha bruciato oltre 1 milione di dollari in gas, pari a quasi l’8% di tutta la spesa per il gas su Ethereum.
L’attaccante ha trascorso settimane implementando 66 smart contract di token contraffatti. Questi fake imitavano Wrapped Ether (WETH), USD Coin (USDC) e Tether (USDT).
Per il bot, questi smart contract sembravano essere i percorsi che doveva seguire. Ha abboccato e approvato la spesa verso contratti helper controllati dall’attaccante. Una sola approvazione ha permesso di ottenere oltre 92 WETH.
Un contratto finale ha poi sfruttato queste autorizzazioni aperte per prelevare fondi reali dal bot.
Una trappola inversa MEV
La trappola ha trasformato la velocità e l’aggressività del bot in un punto debole. La caccia ai bot MEV non è una novità. Nel 2023, un validatore rogue ha prosciugato circa 25 milioni di dollari da bot MEV per sandwich attack.
“Contratti controllati dall’attaccante che ingannano un sistema MEV automatizzato inducendolo ad approvare la spesa di token, utilizzata successivamente per prelevare fondi”, ha spiegato Blockaid qui.
Sandwich attack come questi sono da tempo oggetto di critiche per agire come una tassa invisibile sui trader comuni.
L’operatore del bot ha quantificato la perdita a circa 15 milioni di dollari. Ha anche offerto una ricompensa di 1 milione di dollari per la restituzione dei fondi. Blockaid e PeckShield hanno invece stimato il furto on-chain in circa 7,5 milioni di dollari tra WETH, USDC e USDT.
Il recupero di qualcosa da parte dell’operatore ora potrebbe dipendere dall’accettazione dell’offerta da parte dell’attaccante.
