#MyGateTradeStory

Ethereumで最も有名なMEVボットがオンチェーンハニーポットの罠で750万ドルを失う
攻撃者は、Ethereumで最も活発なサンドイッチ攻撃システムの一つであるJaredFromSubway MEVボットから約750万ドルを吸い上げ、ボットに本来許可されていないトークンの使用を承認させることに成功した。
この事件を発見したセキュリティ企業Blockaidは、該当のボットはスマートコントラクトのバグ、フィッシング攻撃、または秘密鍵の漏洩に遭っていないと述べている。むしろ、攻撃者はそのボットの利益追求ロジックを利用して攻撃を仕掛けた。
このMEVボットはどのように騙されたのか
JaredFromSubway MEVボットは、自動戦略を実行し、Ethereumのメインプールをスキャンして利益の出る取引の機会を探す。これは最大抽出価値（Maximal Extractable Value）として知られる手法だ。
このボットは、他の取引に対してフロントランとバックランを行い、価格差を狙うサンドイッチ攻撃と呼ばれる戦術を用いている。
このボットは2023年4月に有名になった。一日の間に、ガス代として100万ドル以上を費やし、その時点のEthereum全体のガス支出のほぼ8％に相当した。
攻撃者は数週間をかけて66の偽トークンコントラクトを展開した。これらの偽トークンはWrapped Ether（WETH）、USD Coin（USDC）、Tether（USDT）を模倣している。
このボットにとって、これらのコントラクトはまさに探していた取引ルートのように見えた。ボットは罠にかかり、攻撃者が管理する補助コントラクトへのトークン使用の承認を与えた。一つの承認だけで、92 WETH以上を攻撃者に渡してしまった。
その後、最後のコントラクトはこのオープンな許可を利用して、ボットから実資金を吸い上げた。
リバースMEVの罠
この罠は、ボットの速度と攻撃性を逆手に取り、弱点に変えてしまう。MEVボットを狙うのは新しいことではない。2023年には、悪質なバリデーターがサンドイッチMEVボットから約2500万ドルを吸い上げた事例もある。
「攻撃者が管理するコントラクトは、トークン使用の許可を自動的に与えるMEV実行システムを騙し、資金を吸い上げるために利用された」とBlockaidは述べている。
このようなサンドイッチ攻撃は長らく批判の対象となっており、日常のトレーダーにとって見えない税のようなものと見なされている。
ボットの運営者は、損失額は1,500万ドル近くに達すると見積もっている。彼らはまた、資金が返還されれば100万ドルの報酬を提供するとしている。一方、BlockaidとPeckShieldは、ネットワーク上で流出した資金の価値はWETH、USDC、USDTの形で約750万ドルに達していると推定している。
攻撃者が資金を回復できる可能性は、現在、攻撃者が提案を受け入れる意志があるかどうかにかかっている。