Nanakaw ng hacker ang nasa $7.5 milyon mula sa JaredFromSubway MEV bot — isa sa pinakamalakas na sandwich-attack system sa Ethereum — matapos nitong maloko ang bot at mapapayag ito na i-approve ang token spending na hindi naman dapat mangyari.
Ayon sa security firm na Blockaid na unang nag-flag ng insidente, hindi dahil sa smart contract bug, phishing attack, o private key leak nangyari ang hack na ‘to. Imbes, ginamit ng attacker ang mismong profit-seeking logic ng bot laban dito.
Paano Naniwala ang MEV Bot
May automated na strategy ang JaredFromSubway MEV bot na nagso-scan ng Ethereum mempool para hanapin ang mga trades na pwedeng magkapera. Ang tawag dito ay maximal extractable value (MEV), kung saan sinusubukan ng bot na i-maximize ang kikitain mula sa mga transaction.
Kadalasan, nauuna o nahuhuli ang bot sa mga trade para makuha ang price difference — tawag dito ay sandwich attack.
Naging usap-usapan na ang bot na ‘to simula April 2023. Isang araw, gumastos ito ng mahigit $1 milyon para sa gas lang, na halos 8% ng lahat ng Ethereum gas spending sa araw na yun.
Ilang linggo ring naghanda ang attacker at nagdeploy ng 66 pekeng token contract. Ginaya nila ang itsura ng Wrapped Ether (WETH), USD Coin (USDC), at Tether (USDT).
Para sa bot, mukha itong legit na route na hinahanap niya. Na-enganyo ang bot at binigyan ng approval ang mga attacker-controlled/helper contract para mag-spend ng tokens. Sa isang approval lang, nakapagbigay agad ito ng mahigit 92 WETH.
Gamit ang huling contract, in-sweep ng attacker ang totoong pondo mula sa bot gamit ang mga nabuksang allowance. Makikita ito dito.
Reverse-MEV Trap
Naging kahinaan ng bot ang sobrang bilis at pagiging agresibo nito. Hindi bago ang pangha-hunt ng MEV bots — noong 2023, may rogue validator na nanakawan ng nasa $25 milyon ang mga MEV sandwich bots.
“Trinick ng attacker-controlled contracts ang isang automated MEV execution system para magbigay ng token approvals, at ginagamit ‘to para manakaw ng pondo,” ayon sa Blockaid sa kanilang post.
Matagal nang may kritisismo sa mga sandwich attack na ganito, dahil parang invisible tax ito na nagpapabigat sa mga normal na trader.
Sabi ng operator ng bot, mas malapit sa $15 milyon ang totoong nalugi nila. Naglabas din sila ng $1 milyon na bounty kapalit ng pagbabalik ng pondo. Pero base sa estimate ng Blockaid at PeckShield, mga $7.5 milyon na WETH, USDC, at USDT ang nawala on-chain.
Kung may mababawi pa ang operator, depende na ngayon kung tatanggapin ng attacker ang alok nila.
