Bot JaredFromSubway Ethereum MEV (Maximal Extractable Value) mengalami kerugian $15 juta setelah penyerang memanipulasi logika deteksi peluang dengan menciptakan peluang perdagangan mata uang kripto palsu.
Pengurasan terdeteksi pada hari Sabtu oleh perusahaan keamanan blockchain Blockaid, dan hari ini, JaredFromSubway mengonfirmasi bahwa penyerang menggunakan kumpulan dan token palsu untuk mengelabui bot agar menyetujui kontrak pembantu.
Menurut Blockaid, penyerang menyebarkan kontrak yang dirancang agar muncul sebagai peluang MEV yang menguntungkan ke sistem eksekusi otomatis JaredFromSubway.
Bot secara otomatis menganalisis rute dan peluang perdagangan yang tampaknya menguntungkan secara finansial. Ini kemudian menghasilkan transaksi yang diperlukan untuk mengeksekusinya, memberikan persetujuan token ERC-20 untuk kontrak yang dikendalikan oleh penyerang.
Tampaknya penyerang merencanakan pencurian tersebut dengan hati-hati, karena transaksi awal berfungsi sebagai tes yang tidak berbahaya untuk membantu mengonfirmasi rutinitas tindakan bot. Kemudian, pelaku ancaman mengubah rute sehingga tunjangan tidak dikonsumsi atau dicabut setelah bot memberikan persetujuan.
Penyerang mengumpulkan izin pembelanjaan yang valid tanpa segera menggunakannya, mencapai hingga 92,1614 WETH yang disetujui untuk kontrak pembantu yang dikendalikan penyerang.
Terakhir, penyerang menggunakan persetujuan terbuka untuk menarik WETH, USDC, dan USDT dari kontrak bot JaredFromSubway MEV melalui fungsi transferFrom.
Karma membalas
Bot MEV adalah sistem perdagangan otomatis ultra-cepat yang memindai Ethereum dan blockchain lainnya untuk mencari peluang menghasilkan uang dengan memanfaatkan urutan dan waktu transaksi sebelum dimasukkan ke dalam blok.
JaredFromSubway adalah operasi MEV pribadi tanpa kode yang tersedia untuk umum, yang dikenal sebagai salah satu operasi bot “sandwich” Ethereum yang paling agresif dan terlihat.
Dalam serangan sandwich, bot mendeteksi perdagangan tertunda pengguna, menempatkan pesanan beli tepat sebelum perdagangan tersebut, dan kemudian menjual segera setelahnya, mengambil keuntungan dari pergerakan harga yang disebabkan oleh transaksi korban.
Praktik ini kontroversial karena sering kali mengakibatkan harga yang lebih buruk bagi pedagang reguler sekaligus menghasilkan keuntungan bagi operator bot.
Awalnya, JaredFromSubway menawarkan hadiah $3 juta kepada penyerang untuk pengembalian penuh dana yang dicuri, dan berjanji tidak akan mengambil tindakan lebih lanjut.
Setelah tidak menerima tanggapan, JaredFromSubway meningkatkan hadiahnya menjadi $7,5 juta untuk pengembalian hanya 50% dari jumlah yang dicuri, dan $1 juta akan diberikan kepada masyarakat.
JaredFromSubway juga bernegosiasi dengan “kelompok peretas topi putih” atas $15 juta yang dicuri tetapi belum ada konfirmasi kesepakatan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
