O bot de MEV da Ethereum, JaredFromSubway, perde 7,5 milhões de dólares num exploit

O operador do jaredfromsubway, um conhecido bot de trading de Ethereum, perdeu 7,5 milhões de dólares no sábado após um exploit que visava o sistema de aprovação de transações do bot. A empresa de segurança Blockaid informou que um atacante usou tokens falsos e contratos inteligentes fraudulentos para drenar fundos legítimos do bot. O exploit ocorreu contra um bot que ganhou notoriedade por realizar ataques sandwich — uma forma de manipulação de mercado em bolsas descentralizadas que envolve colocar ordens em torno de transações pendentes para lucrar à custa de terceiros.

Atacante explorou a lógica de aprovação com tokens falsos

A Blockaid explicou que o atacante apresentou ao jaredfromsubway oportunidades de trading enganosas que mais tarde permitiram ao agente malicioso drenar fundos. O bot foi concebido para fazer uma análise contínua em busca de negócios rentáveis e, ocasionalmente, concede a determinadas entidades permissão para mover fundos em seu nome para executar esses trades. Segundo a Blockaid, algumas transações em que o jaredfromsubway se envolveu revogaram essas permissões imediatamente após a conclusão, enquanto transações criadas pelo atacante não. "Isso deixou os gastadores controlados pelo atacante armados", afirmou a Blockaid num post na X. O esquema envolvia tokens falsos e contratos inteligentes fraudulentos que exploravam este mecanismo de aprovação.

Operador oferece recompensa de 50% e ameaça ação legal

Numa mensagem on-chain após o ataque de sábado, o operador do bot ofereceu uma "recompensa de white hat de 50%" pela devolução de 2.150 Ethereum, atualmente avaliados em cerca de 3,7 milhões de dólares, num prazo de 48 horas. O operador ameaçou perseguir soluções legais e envolver as autoridades policiais caso os fundos não fossem devolvidos dentro desse período.

Fundos roubados depositados na Tornado Cash

A empresa de segurança PeckShield notou num post na X que o atacante começou a cobrir as suas pegadas após o exploit. Depois de roubar Ethereum envolvido e stablecoins, uma parte dos fundos foi trocada e parcialmente depositada na Tornado Cash, um recurso comum para atacantes que tentam ocultar o fluxo de ganhos obtidos ilicitamente.

FAQ

O que aconteceu ao bot jaredfromsubway no sábado?
O bot jaredfromsubway perdeu 7,5 milhões de dólares no sábado após um atacante explorar a lógica de aprovação das suas transações usando tokens falsos e contratos inteligentes fraudulentos, segundo a empresa de segurança Blockaid.

O que é que o operador do jaredfromsubway ofereceu após o exploit?
O operador ofereceu uma recompensa de white hat de 50% pela devolução de 2.150 Ethereum (aproximadamente 3,7 milhões de dólares) num prazo de 48 horas e ameaçou avançar com ações legais e envolver as autoridades policiais se os fundos não fossem devolvidos.