サンドイッチボット Jaredfromsubway.eth が自らの取引ロジックで750万ドルを失う - Unchained

Jaredfromsubway.eth、イーサリアムで最も悪名高い最大抽出価値（MEV）ボットの一つは、攻撃者がボットの取引ロジックを逆手に取った結果、750万ドル以上を失ったと、セキュリティ企業Blockaidが報告しています。

このボットはサンドイッチ攻撃向けに構築されており、これは自動取引者がキューに入った取引を検知し、その前に入り込み、被害者をより悪い価格に誘導し、その後すぐにポジションを解消するタイプのMEVです。Blockaidは、これは従来のフィッシングスキームや被害者のコントラクトの欠陥ではないと述べています。数週間にわたり、攻撃者は偽のトークンコントラクトや偽の流動性プールを設立し、偽のfWETH、fUSDC、fUSDTルートと偽のfCAPトークンをペアにしたもので、利益を得られる取引として提示していました。

このストーリーはUnchained Dailyニュースレターの抜粋です。

これらのアップデートを無料でメール受信したい方はここから購読してください

ボットはこれらをMEVの機会と見なし、攻撃者が管理するヘルパーコントラクトへの支出承認を付与しました。初期のテストルートでは承認をその場で消費しましたが、その後のルートでは意図的に承認を放置し、攻撃者に資金移動のための扉を開けていました。Blockaidによると、ボットは約92.16 WETHを一つの攻撃者ヘルパーコントラクトに承認し、最終的な一掃ではその許可を利用してWETH、USDC、USDTをtransferFromを通じて引き出しました。CoinDeskは、その一部の収益が後にTornado Cashを経由してルーティングされたと報告しています。

サンドイッチ攻撃はイーサリアムのトレーダーに年間約6000万ドルの損失をもたらし、その約70%は2023年初から活動しているjaredfromsubway.ethに起因しています。このボットはかつて、わずか数ドルの利益のためにVitalik Buterinの取引をフロントランし、114万ドルを費やしました。この損失は、2023年の攻撃と一致しており、その攻撃では不正なバリデータがサンドイッチボットから2500万ドルを引き出しました。

6月22日のオンチェーンメッセージで、Jaredのウォレットは攻撃者に対し、50%のホワイトハット報奨金として2150 ETHを48時間以内に返還するよう提案し、それ以外の場合は法的措置や法執行機関の介入を示唆しました。

関連リスニング: 「DeFiはすべて安全でないのか？」資産をオンチェーンで保有する際に知っておくべきこと