Según se informa, Jaredfromsubway, uno de los bots MEV más conocidos de la red Ethereum, ha sido atacado y le han robado activos por valor de millones de dólares.
Según una alerta comunitaria compartida por Blockaid, el sistema de detección de vulnerabilidades de la compañía identificó un ataque dirigido al bot MEV jaredfromsubway en Ethereum. Las evaluaciones iniciales sugieren que los atacantes manipularon el mecanismo de ejecución automatizada de MEV del bot, dirigiendo al sistema para validar tokens de contratos bajo su control.
Blockaid declaró que en el incidente se robaron activos por un valor mínimo de 7,5 millones de dólares, mientras que fuentes en la cadena de bloques indicaron que la pérdida total superó los 15 millones de dólares. La compañía añadió que el incidente no fue un ataque de phishing clásico ni una vulnerabilidad tradicional en el contrato inteligente de la víctima.
El ataque se basó en engañar al mecanismo del bot para evaluar automáticamente oportunidades de MEV aparentemente rentables. Los atacantes crearon tokens de envoltura y fondos de liquidez falsos, emparejando rutas ficticias como fWETH, fUSDC y fUSDT con tokens fCAP. Estas transacciones aparecieron para el bot de MEV como oportunidades de arbitraje lucrativas.
Como resultado, el bot aprobó contratos auxiliares controlados por los atacantes como direcciones con autorización de gasto. En las pruebas iniciales, se observó que las aprobaciones se consumían inmediatamente dentro de la ruta y no dejaban ningún permiso permanente. Sin embargo, en operaciones posteriores, los atacantes crearon rutas que el bot aprobó, pero donde este permiso no se consumía ni se revocaba.
*Esto no constituye asesoramiento de inversión.