Jaredfromsubway.eth MEV-бот злив у рамках контратаки на 7,5 мільйона доларів

За даними Blockaid, Jaredfromsubway.eth, один із найуспішніших MEV-ботів у криптоіндустрії, нещодавно був обчищений на понад $7,5 мільйона після того, як зловмисник скористався автоматизованою логікою виконання бота. Зловмисник розгорнув 66 фейкових токенних контрактів, які імітували Wrapped ETH, USDC та USDT, і під’єднав до них фейкові пули ліквідності, створені так, щоб виглядати як прибуткові торгові можливості. Коли бот взаємодіяв із цими контрактами, він надавав дозволи helper-контрактам, керованим зловмисником, що давало доступ до його казни.

CTO Blockaid Раз Нів назвав інцидент атакою-«медовим горщиком» проти MEV, спрямованою на логіку ухвалення рішень із мінімізованою довірою, на яку покладаються MEV-боти. Далі зловмисник виконав одну транзакцію, яка викликала всі 66 бекдори, щоб вивести ETH, USDC та USDT з уражених адрес. Частину вкрадених коштів пізніше відправили в Tornado Cash, сервіс для міксингу криптовалют. Експлойт показує, що високоприбуткова автоматизація, створена для використання ринкових неефективностей, може стати вразливою, коли атакувальники розуміють поведінкові патерни бота та механізми надання дозволів.