Le bot MEV de Jaredfromsubway sur Ethereum a été vidé après avoir approuvé son propre vol de 7,5 millions de dollars

Le bot MEV Jaredfromsubway, lié à environ 70 % des attaques sandwich sur Ethereum, a perdu plus de 7,5 millions de dollars dans une fuite d'autorisations après que son système automatisé a autorisé des contrats contrôlés par des attaquants à dépenser ses jetons.

Le bot, connu sous le nom de Jaredfromsubway.eth, a approuvé une série de transactions qui semblaient faire partie de routes commerciales rentables. Ces permissions sont restées actives, permettant à l'attaquant de retirer de l'ether enveloppé et deux grandes stablecoins de contrats liés à l'opération.

L'incident a effectivement conduit l'un des plus grands systèmes de trading extractif d'Ethereum à s'approuver lui-même pour voler ses fonds. Il met également en lumière une vulnérabilité à laquelle sont confrontés les traders automatisés qui doivent évaluer les marchés, autoriser des contrats et exécuter des transactions en quelques secondes.

La société de sécurité onchain Blockaid a déclaré que l'attaquant n'a pas compromis les clés privées du bot ni exploité une faille dans un protocole de finance décentralisée largement utilisé. Au lieu de cela, l'opération a ciblé les règles que le bot utilisait pour identifier et poursuivre des profits potentiels.

Lecture Connexe

Bot MEV responsable de 7 % du gaz total sur le réseau Ethereum en 24 heures

Les transactions du bot ont fait augmenter les frais de gaz du réseau Ethereum durant cette période, selon les données d'ultrasound.money.

19 avr. 2023 · Oluwapelumi Adejumo

Comment Jaredfromsubway.eth a été vidé

Selon Blockaid, l'attaquant avait passé plusieurs semaines à déployer des tokens imitation, des pools de liquidité et des contrats de support qui ressemblaient à des marchés contre lesquels le bot pourrait normalement trader.

Les faux actifs comprenaient des versions d'Ethereum enveloppé, USDC et USDT, appariés via des routes de trading conçues pour générer des signaux à l'apparence profitable. Jaredfromsubway.eth a détecté ces routes et a suivi son processus habituel d'autorisation des contrats auxiliaires pour déplacer des jetons dans le cadre des échanges attendus.

Certaines transactions précoces ont utilisé les permissions comme prévu, aidant à établir un modèle que le système du bot a continué d'accepter. Des transactions ultérieures ont laissé ces autorisations inutilisées.

Comment le bot MEV Jaredfromsubway.eth a été vidé (Source : Doug Colkitt) Cette distinction a donné à l'attaquant une ouverture via les autorisations ERC-20, qui permettent à une autre adresse ou contrat intelligent de dépenser un montant spécifié de jetons appartenant au compte qui a donné l'autorisation.

L'autorisation peut rester disponible après la transaction initiale, sauf si elle est épuisée, réduite ou révoquée.

Une fois que l'attaquant a accumulé suffisamment d'autorisations non dépensées, les contrats ont utilisé la fonction transferFrom ERC-20 pour déplacer du vrai WETH, USDC et USDT depuis les comptes du bot.

Les enregistrements onchain montrent des transferts répétés totalisant environ 92 WETH, 143 000 $ USDC, et 149 000 $ USDT depuis un contrat lié au bot. Les fonds ont été dirigés vers une adresse contrôlée par l'attaquant.

CryptoSlate Brief Quotidien

Signaux quotidiens, zéro bruit.

Titres et contexte qui font bouger le marché livrés chaque matin en une lecture concise.

Digest de 5 minutes Plus de 100k lecteurs

Gratuit. Pas de spam. Désabonnez-vous à tout moment.

Oups, il semble y avoir eu un problème. Veuillez réessayer.

Vous êtes abonné. Bienvenue à bord.

Le développeur de Yearn Finance, Banteg, a décrit l'opération finale comme une fuite d'autorisations plutôt qu'un échange de jetons conventionnel. Un contrat de coordination appelait une fonction de retrait à travers des dizaines de contrats subsidiaires, qui vérifiaient les soldes du bot et leurs permissions restantes avant de transférer les jetons disponibles.

Une partie des fonds a ensuite été envoyée via Tornado Cash, un service de mélange de crypto-monnaies qui peut rendre les fonds plus difficiles à tracer.

Un opérateur sandwich dominant devient la cible

Jaredfromsubway.eth opère depuis 2023 et est devenu l’un des participants les plus en vue sur le marché de la valeur extractible maximale (MEV) d’Ethereum.

La MEV désigne les revenus générés par le changement de l’ordre dans lequel les transactions blockchain sont traitées. Dans une attaque sandwich, un bot identifie une transaction en attente et achète l’actif en premier, faisant monter son prix. La transaction de l’utilisateur s’exécute alors à un prix moins favorable avant que le bot ne vende, capturant la différence.

Cela a fait de Jaredfromsubway.eth l’un des bots d’attaques sandwich les plus visibles sur Ethereum avant que la même automatisation ne devienne la voie vers ses propres fonds.

La perte pour un trader individuel peut être faible. Mais à travers des dizaines de milliers de transactions, cette stratégie peut générer des revenus substantiels tout en augmentant les coûts de trading et les frais réseau.

Selon des rapports, ces attaques ont imposé des coûts annuels estimés à 60 millions de dollars aux traders, dont environ 70 % étaient liés à un opérateur unique identifié comme Jaredfromsubway.eth.