Hanya Butuh Satu Jam untuk MEV Bot Kehilangan $1.4 Juta di Brazen Heist

Korban 'We Got Careless' Memberitahu Peretas dalam Upaya untuk Memulihkan ETH yang Hilang

Operator bot MEV menghasilkan 800 ETH dalam satu transaksi pada 28 September, sebelum kehilangan 1,100 ETH hanya satu jam kemudian, menurut Bert Miller, pemimpin produk Flashbots, tim riset MEV.

Penggiling ditandai transaksi di Twitter. Dia mengatakan alamat tersebut, yang dimulai dengan kode alfanumerik '0xbaDc0dE', melakukan 220,000 transaksi selama beberapa bulan terakhir. Aktivitas tersebut sangat mengindikasikan perilaku bot MEV.

Tetap aman

“Bayangkan menghasilkan 800 ETH dalam satu arb … dan satu jam kemudian kehilangan 1100 ETH karena peretas,” tweet Miller. “Tetap aman dan lindungi fungsi eksekusi Anda.”

MEV, atau Nilai Maksimal yang Dapat Diekstraksi, adalah teknik yang digunakan oleh validator dan operator bot untuk menangkap nilai berlebih dari slippage atau spread yang diaktifkan oleh transaksi on-chain pada blockchain terdesentralisasi. Pencari MEV bekerja dengan validator untuk menyusun ulang atau menjalankan transaksi di depan untuk memanfaatkan biaya maksimum atau slippage yang diizinkan oleh pengguna Ethereum.

'Pembuangan Besar-besaran' oleh Penambang Ethereum Menghukum ETH

Beralih ke Proof of Stake Roils ETH Market Tapi Mungkin Hanya Untuk Jangka Pendek

Sementara MEV sering dilihat sebagai mencakup teknik bebas risiko, bencana 0xbaDc0dE tampaknya menunjukkan bahwa itu tidak benar. 

Miller mengatakan bahwa alamat tersebut memanfaatkan pengguna yang mencoba menjual cUSDC senilai $1.8 juta — token yang memungkinkan pemegang untuk menarik USDC yang disetorkan ke Compound, dApp pasar uang — di Uniswap v2, meskipun pemasangannya sangat tidak likuid. 

Mengapit Transaksi

Penjual yang tidak beruntung hanya menerima $500 dari transaksi tersebut. Namun, 0xbaDc0dE mengantongi 800 ETH ($1.02 juta) dengan mengapit transaksi dengan perdagangan arbitrase rumit yang melibatkan banyak dApps DeFi berbeda.

Tapi hanya satu jam kemudian, semua ETH 0xbaDc0dE tampaknya dicuri, dengan seorang peretas menjaring 1,101 ETH ($ 1.4 juta) dari dompet. Miller mencatat bahwa 0xbaDc0dE telah gagal melindungi fungsi yang mereka gunakan untuk mengeksekusi flashloans di bursa dYdX.

Eksekusi Sewenang-wenang

“Ketika Anda mendapatkan flashloan, protokol yang Anda pinjam akan memanggil fungsi standar pada kontrak Anda,” kata Miller. “Kode 0xbaDc0dE sayangnya diizinkan untuk eksekusi sewenang-wenang. Penyerang menggunakan ini untuk membuat 0xbaDc0dE menyetujui semua WETH mereka untuk dibelanjakan pada kontrak mereka.”

PeckShield, firma keamanan blockchain, juga melihat transaksi tersebut. Mereka memposting pesan berantai yang dikirim antara 0xbaDc0dE dan penyerang mereka.

0xbaDc0dE menuntut agar dana dikembalikan pada akhir 28 September, menawarkan untuk memberi penyerang 20% ​​dari dana jika mereka patuh. 

“Selamat atas ini, kami ceroboh dan Anda benar-benar berhasil membuat kami bagus,” 0xbaDc0dE tersebut. “Jika dana tidak dikembalikan pada saat itu, kami tidak punya pilihan selain mengejar sesuai dengan segala daya kami dengan otoritas yang sesuai untuk mengambil dana kami,” ancam mereka.

Tapi si hacker tampaknya tidak terganggu, menanggapi, “bagaimana dengan orang normal yang telah Anda MEV'ed dan benar-benar bercinta dengan mereka? Apakah Anda akan mengembalikannya?” 

Mereka dengan sinis menawarkan untuk mengembalikan 1% dari dana yang dicuri jika 0xbaDc0dE mengembalikan semua keuntungan yang dihasilkan melalui MEV kepada pengguna Ethereum yang tidak menaruh curiga pada akhir hari yang sama.

Pencari MEV

Flashbots mengembangkan perangkat lunak yang dirancang untuk mengurangi hambatan menjadi pencari MEV dan berbagi keuntungan yang diperoleh melalui ekstraksinya ke komunitas validator Ethereum yang lebih luas. 

Tim mendapat kecaman bulan lalu ketika dikonfirmasi akan demikian mematuhi dengan sanksi Departemen Keuangan AS yang menargetkan layanan pencampuran crypto, Tornado Cash. Flashbots merespons dengan membuka beberapa kode untuk perangkat lunak MEV-Boost-nya, yang memungkinkan ekstraksi MEV dari transaksi Proof of Stake Ethereum.

Pada 27 September, Toni Wahrstatter, seorang peneliti Ethereum, melaporkan bahwa nol transaksi yang berinteraksi dengan kontrak Tornado Cash telah dimasukkan dalam blok yang diproduksi menggunakan perangkat lunak MEV-Boost hingga saat ini.