イーサリアムネットワーク上で最も有名なMEVボットの一つであるJaredfromsubwayが攻撃を受け、数百万ドル相当の資産が盗まれたと報じられている。
Blockaidが公開したコミュニティアラートによると、同社の脆弱性検出システムが、イーサリアム上のMEVボット「jaredfromsubway」を標的とした攻撃を特定した。初期評価では、攻撃者がボットの自動MEV実行メカニズムを操作し、自身が管理するコントラクトのトークンを検証するようにシステムを誘導したことが示唆されている。
Blockaid社は、今回の事件で少なくとも750万ドル相当の資産が盗まれたと発表したが、オンチェーンの情報源によると、損失総額は1500万ドルを超えているという。同社はまた、今回の事件は典型的なフィッシング攻撃でも、被害者のスマートコントラクトにおける従来の脆弱性によるものでもないと付け加えた。
この攻撃は、一見利益が出そうなMEV取引機会を自動的に評価するボットの仕組みを欺くことを目的としていました。攻撃者は偽のラッパートークンと流動性プールを作成し、fWETH、fUSDC、fUSDTなどの偽のルートをfCAPトークンと組み合わせました。これらの取引は、MEVボットにとって魅力的な裁定取引機会に見えました。
その結果、ボットは攻撃者が管理する補助契約を、支出権限を持つアドレスとして承認した。最初のテスト運用では、付与された承認はルート内で即座に消費され、永続的な権限は残らないことが確認された。しかし、その後の運用では、攻撃者はボットが承認するものの、その権限が消費も取り消しもされないルートを作成した。
※これは投資アドバイスではありません。