O bot MEV de Jaredfromsubway na Ethereum foi drenado após aprovar seu próprio roubo de 7,5 milhões de dólares

O bot MEV Jaredfromsubway, responsável por aproximadamente 70% dos ataques de sanduíche na Ethereum, perdeu mais de 7,5 milhões de dólares em um esvaziamento de permissões após seu sistema automatizado autorizar contratos controlados por atacantes a gastar seus tokens.

O bot, conhecido como Jaredfromsubway.eth, aprovou uma série de transações que pareciam fazer parte de rotas de negociação lucrativas. Essas permissões permaneceram ativas, permitindo que o atacante removesse ether envolvido e dois grandes stablecoins de contratos associados à operação.

O incidente efetivamente fez com que um dos maiores sistemas de negociação extrativa da Ethereum aprovasse seu próprio roubo. Também destaca uma vulnerabilidade enfrentada por traders automatizados que precisam avaliar mercados, autorizar contratos e executar transações em segundos.

A empresa de segurança onchain Blockaid afirmou que o atacante não comprometeu as chaves privadas do bot nem explorou uma falha em um protocolo de finanças descentralizadas amplamente utilizado. Em vez disso, a operação visou as regras que o bot usava para identificar e buscar lucros potenciais.

Leitura Relacionada

Bot MEV responsável por 7% do gás total na rede Ethereum em 24 horas

As transações do bot elevaram as taxas de gás da rede Ethereum durante o período, de acordo com dados do ultrasound.money.

19 de abr de 2023 · Oluwapelumi Adejumo

Como Jaredfromsubway.eth foi esvaziado

De acordo com a Blockaid, o atacante passou várias semanas implantando tokens de imitação, pools de liquidez e contratos de suporte que se assemelhavam a mercados contra os quais o bot normalmente negociaria.

Os ativos falsificados incluíam versões de Ethereum envolto, USDC e USDT, pareados por rotas de negociação projetadas para gerar sinais com aparência de lucro. Jaredfromsubway.eth detectou essas rotas e seguiu seu processo habitual de permitir contratos auxiliares mover tokens como parte das negociações esperadas.

Algumas transações iniciais usaram as permissões como esperado, ajudando a estabelecer um padrão que o sistema do bot continuou a aceitar. Transações posteriores deixaram as aprovações não utilizadas.

Como o Bot MEV Jaredfromsubway.eth foi esvaziado (Fonte: Doug Colkitt) Essa distinção deu ao atacante uma brecha através das aprovações ERC-20, que permitem que outro endereço ou contrato inteligente gaste uma quantidade específica de tokens pertencentes à conta que aprovou.

A permissão pode permanecer disponível após a transação original, a menos que seja esgotada, reduzida ou revogada.

Depois que o atacante acumulou permissões não gastas suficientes, os contratos usaram a função transferFrom do ERC-20 para mover WETH, USDC e USDT reais das contas do bot.

Registros na blockchain mostram transferências repetidas totalizando cerca de 92 WETH, US$ 143.000 em USDC e US$ 149.000 em USDT de um contrato vinculado ao bot. Os fundos foram direcionados para um endereço controlado pelo atacante.

CryptoSlate Resumo Diário

Sinais diários, zero ruído.

Manchetes que movimentam o mercado e contexto entregues todas as manhãs em uma leitura rápida.

Resumo de 5 minutos Mais de 100 mil leitores

Grátis. Sem spam. Cancele a assinatura a qualquer momento.

Ops, parece que houve um problema. Por favor, tente novamente.

Você está inscrito. Bem-vindo a bordo.

O desenvolvedor do Yearn Finance, Banteg, descreveu a operação final como um esvaziamento de permissões, e não uma troca convencional de tokens. Um contrato coordenador chamou uma função de retirada através de dezenas de contratos subsidiários, que verificaram os saldos do bot e suas permissões restantes antes de transferir os tokens disponíveis.

Parte dos lucros foi posteriormente enviada através do Tornado Cash, um serviço de mistura de criptomoedas que pode dificultar o rastreamento dos fundos.

Um operador de sanduíche dominante torna-se alvo

Jaredfromsubway.eth opera desde 2023 e se tornou um dos participantes mais proeminentes no mercado de valor extraível máximo (MEV) da Ethereum.

MEV refere-se à receita gerada por alterar a ordem em que as transações na blockchain são processadas. Em um ataque de sanduíche, um bot identifica uma negociação pendente e compra o ativo primeiro, elevando seu preço. A transação do usuário então é executada a um preço menos favorável antes que o bot venda, capturando a diferença.

Isso fez de Jaredfromsubway.eth um dos bots de ataque de sanduíche mais visíveis na Ethereum antes de a mesma automação se tornar o caminho para seus próprios fundos.

A perda para qualquer trader individual pode ser pequena. Contudo, em dezenas de milhares de transações, a estratégia pode gerar receitas substanciais enquanto aumenta os custos de negociação e as taxas de rede.

De acordo com relatos, esses ataques impuseram custos anuais estimados em 60 milhões de dólares aos traders, sendo que cerca de 70% estavam associados a um único operador identificado como Jaredfromsubway.eth.