Le bot MEV Jaredfromsubway d'Ethereum vidé après avoir approuvé son propre vol de 7,5 M$

Le bot MEV Jaredfromsubway, lié à environ 70 % des attaques sandwich sur la Blockchain Ethereum, a perdu plus de 7,5 millions de dollars dans un vidage d'autorisations après que son système automatisé a autorisé des contrats contrôlés par l'attaquant à dépenser ses tokens.

Le bot, connu sous le nom de Jaredfromsubway.eth, a approuvé une série de transactions qui semblaient faire partie de routes de trading rentables. Ces autorisations sont restées actives, permettant à l'attaquant de retirer de l'ether encapsulé et deux stablecoins majeurs des contrats associés à l'opération.

L'incident a effectivement conduit l'un des plus grands systèmes de trading extractif d'Ethereum à approuver son propre vol. Il met également en évidence une vulnérabilité à laquelle sont confrontés les traders automatisés qui doivent évaluer les marchés, autoriser des contrats et exécuter des transactions en quelques secondes.

La société de sécurité onchain Blockaid a déclaré que l'attaquant n'a pas compromis les clés privées du bot ni exploité une faille dans un protocole de finance décentralisée largement utilisé. L'opération a plutôt ciblé les règles que le bot utilisait pour identifier et poursuivre des profits potentiels.

Comment Jaredfromsubway.eth a été vidé

Selon Blockaid, l'attaquant avait passé plusieurs semaines à déployer des tokens d'imitation, des pools de liquidité et des contrats de support qui ressemblaient aux marchés contre lesquels le bot tradait normalement.

Les actifs fictifs comprenaient des versions d'Ethereum encapsulé, de USDC et de USDT, associées via des routes de trading conçues pour générer des signaux d'apparence rentable. Jaredfromsubway.eth a détecté ces routes et a suivi son processus habituel d'autorisation des contrats auxiliaires à déplacer des tokens dans le cadre des trades attendus.

Certaines transactions initiales ont utilisé les autorisations comme prévu, contribuant à établir un schéma que le système du bot a continué à accepter. Les transactions ultérieures ont laissé les approbations inutilisées.

Cette distinction a offert à l'attaquant une ouverture via les approbations ERC-20, qui permettent à une autre adresse ou à un Smart Contract (Contrat Intelligent) de dépenser un montant spécifié de tokens appartenant au compte approbateur.

L'autorisation peut rester disponible après la transaction initiale, à moins qu'elle ne soit épuisée, réduite ou révoquée.

Une fois que l'attaquant avait accumulé suffisamment d'autorisations non dépensées, les contrats ont utilisé la fonction ERC-20 transferFrom pour déplacer de vrais WETH, USDC et USDT depuis les comptes du bot.

Les enregistrements on-chain montrent des transferts répétés totalisant environ 92 WETH, 143 000 $ USDC et 149 000 $ USDT depuis un contrat lié au bot. Les fonds ont été dirigés vers une adresse contrôlée par l'attaquant.

Le développeur de Yearn Finance, Banteg, a décrit l'opération finale comme un vidage d'autorisations plutôt qu'un Échange de Tokens conventionnel. Un contrat coordinateur a appelé une fonction de retrait à travers des dizaines de contrats subsidiaires, qui ont vérifié les soldes du bot et leurs autorisations restantes avant de transférer les tokens disponibles.

Une partie des fonds a ensuite été envoyée via Tornado Cash, un service de mixage de cryptomonnaies qui peut rendre les fonds plus difficiles à tracer.

Un opérateur sandwich dominant devient la cible

Jaredfromsubway.eth opère depuis 2023 et est devenu l'un des participants les plus éminents du marché de la valeur extractible maximale (MEV) d'Ethereum.

Le MEV désigne les revenus générés en modifiant l'ordre dans lequel les transactions de la Blockchain sont traitées. Dans une attaque sandwich, un bot identifie un trade en attente et achète l'actif en premier, faisant monter son prix. La transaction de l'utilisateur s'exécute ensuite à un prix moins favorable avant que le bot ne vende, capturant la différence.

Cela a fait de Jaredfromsubway.eth l'un des Sandwich Bots d'attaque les plus visibles d'Ethereum, avant que cette même automatisation ne devienne la voie d'accès à ses propres fonds.

La perte pour un trader individuel peut être minime. Sur des dizaines de milliers de transactions, cependant, la stratégie peut générer des revenus substantiels tout en augmentant les coûts de trading et les frais de réseau.

Selon des rapports, ces attaques ont imposé un coût annuel estimé à 60 millions de dollars aux traders, tandis qu'environ 70 % étaient associées à un seul opérateur identifié comme Jaredfromsubway.eth.

The post Ethereum's Jaredfromsubway MEV bot drained after approving its own $7.5M theft appeared first on CryptoSlate.