Vienas iš sėkmingiausių MEV robotų kriptovaliutų srityje, Jaredfromsubway.eth, buvo nusausintas daugiau nei 7,5 milijono dolerių, o užpuolikas išnaudojo roboto automatizuotas sistemas, tas pačias, kurios per daugelį metų sudarė šimtus milijonų.
Anot „Blockaid“, šeštadienį įvykęs incidentas kilo dėl užpuoliko kontroliuojamų sutarčių, per kurias Jaredfromsubway.eth automatizuota MEV (maksimalios išgaunamos vertės) vykdymo sistemos robotas suteikė žetonų patvirtinimus, kurie vėliau buvo panaudoti lėšoms nusausinti.
„Tai nėra klasikinė sukčiavimo ataka ir ne tradicinis išmaniosios sutarties pažeidžiamumas aukos sutartyje“, – sakė Blockaid X.
Tai reta nesėkmė MEV robotams, tokiems kaip Jaredfromsubway.eth, kurie yra automatizuotos programos, kurios stebi nepatvirtintus sandorius blokų grandinės tinkluose ir manipuliuoja jų užsakymais, kad gautų pelną, savotišką „nematomą mokestį“ DeFi vartotojams.
„Cointelegraph Research“ anksčiau nustatė, kad sumuštinių atakos prieš „Ethereum“ prekybininkams kasmet patyrė apie 60 mln. Tyrimas taip pat parodė, kad nuo 2024 m. lapkričio mėn. iki 2025 m. spalio mėn. per mėnesį buvo 60 000–90 000 sumuštinių atakų, iš kurių maždaug 70 % jų buvo siejama su Jaredfromsubway.eth.
Kaip buvo išnaudojamas Jaredfromsubway.eth
„Tai buvo ataka prieš MEV medaus puodą, nes ji buvo nukreipta į automatizuotą, pasitikėjimą sumažinančią sprendimų priėmimo logiką, kurią naudoja MEV robotai“, – „Cointelegraph“ sakė „Blockaid“ vyriausiasis technologijų pareigūnas Razas Nivas.
Per kelias savaites užpuolikas įdiegė 66 padirbtų žetonų sutartis, kurios imitavo Wrapped ETH (WETH), USDC (USDC) ir USDt (USDT) pavadinimus ir sąsajas, o tada suporavo tai su netikrais likvidumo telkiniais, sakė Niv.
Padirbiniai buvo sukurti taip, kad atrodytų kaip pelningi sandoriai, o MEV robotai yra užprogramuoti persekioti. Tai privertė Jaredfromsubway robotą daryti tai, kam jis buvo sukurtas, patvirtindamas tam tikras užpuoliko valdomų pagalbininkų sutartis išleisti tikrus pinigus jo vardu.
„Ironiška, bet procese užpuolikui buvo suteikti raktai nuo milijonų roboto iždo“, – pridūrė jis.
„Ir tada per vieną operaciją užpuolikas paskambino visoms 66 užpakalinėms durims ir šiais adresais nušlavė visus ETH, USDC ir USDT, kurių vertė siekia milijonus dolerių.
Remiantis onchain duomenimis, dalis pavogtų lėšų jau buvo išsiųsta į kriptovaliutų maišymo paslaugą „Tornado Cash“.
Gegužę Ethereum įkūrėją Vitaliką Buteriną užpuolė Jaredfromsubway.eth, kai jis apsikeitė 26 544 skaitmeniniais bitais (kurio vertė rašymo metu buvo 2,11 USD). Nuostoliai buvo minimalūs, tačiau jie rodo, kad net ir mažiausi sandoriai gali būti MEV robotų taikinys.
„Mes neturėtume tuo džiaugtis; niekas neturėtų švęsti… bet jei jus tai kada nors užklupo… Esu tikras, kad dėl šios naujienos nesate nusiminęs“, – sakė kriptovaliutų investuotojas ir apžvalgininkas Davidas Gokhshteinas.
Žurnalas: Anon pabaiga? AI galėtų demaskuoti paslėptas kriptovaliutų tapatybes
