- дата публікації
Увага: Одна з найвідоміших криптовалютних платформ була зламаною! Повідомляють про значні втрати
- джерело
- сайт
- en.bitcoinsistemi.com
- відкрити джерело
Один із найвідоміших MEV-ботів на мережі Ethereum, Jaredfromsubway, зазнав атаки, в результаті якої було вкрадено активи на мільйони доларів.
Як повідомила компанія Blockaid, яка спеціалізується на виявленні вразливостей, нападники маніпулювали автоматизованим механізмом виконання MEV-бота, направляючи його на валідацію токенів для контрактів, що знаходилися під їх контролем. Згідно з даними Blockaid, у результаті інциденту було вкрадено щонайменше 7,5 мільйона доларів, хоча за деякими даними, загальні втрати перевищили 15 мільйонів доларів.
Компанія зазначила, що атака не була класичним фішингом або традиційною вразливістю смарт-контракту жертви. Атака полягала в обмані механізму бота, який оцінював вигідні можливості MEV.
Нападники створили фальшиві токени та ліквідні пулі, поєднуючи фейкові маршрути, такі як fWETH, fUSDC і fUSDT, з токенами fCAP.
Ці транзакції виглядали для MEV-бота як вигідні арбітражні можливості. В результаті бот схвалив допоміжні контракти, контрольовані нападниками, як адреси з правом витрат.
На початкових тестових операціях було помічено, що схвалення моментально використовувалися, але під час наступних операцій нападники створили маршрути, які бот схвалив, але це схвалення не було ні використано, ні відкликано.