Kulus vaid tund, et MEV Bot kaotas Brazen Heistis 1.4 miljonit dollarit

"Meil on hoolimatu" ohver teatab häkkerile, et ta soovib taastada kaotatud ETH

MEV-i robotite operaator teenis 800. septembril ühe tehinguga 28 ETH-d, enne kui kaotas vaid tund hiljem tohutult 1,100 ETH-d, ütles MEV-i uurimisrühma Flashbotsi tootejuht Bert Miller.

Mölder märgistatud tehingud Twitteris. Ta ütles, et kõnealune aadress, mis algab tähtnumbrilise koodiga '0xbaDc0dE', on viimase paari kuu jooksul sooritanud 220,000 XNUMX tehingut. Tegevus viitas tugevalt MEV roboti käitumisele.

Ole turvaline

"Kujutage ette, et teenite ühe arbiga 800 ETH ja tund hiljem kaotate häkkerile 1100 ETH," säutsus Miller. "Olge kaitstud ja kaitske oma täitmisfunktsioone."

MEV või Maksimaalne ekstraheeritav väärtus, on meetod, mida validaatorid ja robotite operaatorid kasutavad detsentraliseeritud plokiahelate ahelasiseste tehingute poolt võimaldatud libisemise või leviku ülemäärase väärtuse püüdmiseks. MEV-otsijad teevad tehingute ümberjärjestamiseks või ettejuhtimiseks koostööd validaatoritega, et kasutada ära Ethereumi kasutajate lubatud maksimaalseid tasusid või libisemist.

Ethereum Minersi "massiivne kaadamine" karistab ETH-d

Üleminek panuse tõendamisele Roils ETH turul, kuid võib-olla ainult lühiajaliseks

Kuigi MEV-i peetakse sageli riskivabadeks tehnikateks, näib, et 0xbaDc0dE läbikukkumine näitab, et see pole nii. 

Miller ütles, et aadress kasutas ära kasutajat, kes üritas Uniswap v1.8-s müüa 2 miljoni dollari väärtuses cUSDC-d – žetoone, mis võimaldasid omanikel välja võtta rahaturu dApp-i Compoundi deponeeritud USDC – Uniswap vXNUMX-s, hoolimata sellest, et sidumine oli väga ebalikviidne. 

Tehingu lisamine

Õnnetu müüja sai tehingust vaid 500 dollarit. 0xbaDc0dE tõi aga taskusse 800 ETH (1.02 miljonit dollarit), ühendades tehingu keeruka arbitraažikaubandusega, mis hõlmas paljusid erinevaid DeFi dApppe.

Kuid kõigest tund hiljem varastati ilmselt kogu 0xbaDc0dE ETH ja häkker lõi rahakotist 1,101 ETH (1.4 miljonit dollarit). Miller märkis, et 0xbaDc0dE ei suutnud kaitsta funktsiooni, mida nad kasutasid välklaenude täitmiseks dYdX-i börsil.

Omavoliline hukkamine

"Kui saate välklaenu, kutsub protokoll, mille alusel laenate, teie lepingu standardfunktsiooni," ütles Miller. "0xbaDc0dE kood lubas kahjuks suvalise täitmise. Ründaja kasutas seda selleks, et saada 0xbaDc0dE heaks kiita kogu nende WETH lepingule kulutamiseks.

Tehingut märkas ka plokiahela turvafirma PeckShield. Nad postitasid ahelasiseseid sõnumeid, mis saadeti 0xbaDc0dE ja nende ründaja vahel.

0xbaDc0dE nõudis raha tagastamist 28. septembri lõpuks, pakkudes ründajale 20% vahenditest, kui nad järgivad. 

"Õnnitleme selle puhul, me läksime hooletuks ja teil õnnestus meid kindlasti heaks teha," 0xbaDc0dE ütles. "Kui raha selleks ajaks ei tagastata, ei jää meil muud üle, kui teha kõik endast oleneva vastavate asutustega, et oma raha kätte saada," ähvardasid nad.

Kuid häkker näib olevat häirimatu, vastates, “Aga normaalsete inimestega, keda olete MEV-i teinud ja sõna otseses mõttes kuradinud? Kas sa tagastad need?" 

Nad pakkusid sarkastiliselt, et tagastavad 1% varastatud vahenditest, kui 0xbaDc0dE tagastab kogu MEV kaudu teenitud kasumi pahaaimamatutele Ethereumi kasutajatele sama päeva lõpuks.

MEV otsija

Flashbots arendab tarkvara, mis on loodud selleks, et vähendada takistusi MEV-otsijaks saamisel ja jagada selle ekstraheerimisega kogutud kasumit Ethereumi laiema valideerijate kogukonnaga. 

Meeskond sattus tule alla eelmisel kuul, kui ta kinnitas, et see nii on täitmine USA rahandusministeeriumi sanktsioonidega, mis on suunatud krüptode segamisteenusele Tornado Cash. Flashbotid vastasid, hankides avatud lähtekoodiga osa oma tarkvara MEV-Boost koodist, mis võimaldab MEV-i eraldada Proof of Stake Ethereumi tehingutest.

Ethereumi uurija Toni Wahrstatter 27. septembril teatatud et praeguseks on MEV-Boost tarkvara abil toodetud plokkidesse kaasatud null tehingut, mis on seotud Tornado Cashi lepingutega.