פריצות וניצול משתרשים יותר ויותר במרחב הקריפטו. עם קבלת הנכסים הדיגיטליים בעולם, גם הפשעים גדלים. הפושעים משתמשים בגישות טכנולוגיות יותר כדי לסייע לניצול ולפריצות שלהם לפרוטוקולים ופלטפורמות. מספיקה פרצה קלה וזניחה כדי לגרום למעללים הללו.
בוט MEV, בוט למסחר בארביטראז' של Ethereum, צבר סכום עתק של מיליון דולר כפרס קופה. עם זאת, השמחה על הרווחים שלה הייתה קצרת מועד שכן האירועים התבררו לרעה עבורו כמה שעות לאחר מכן. לפני שהשקף כראוי את הערך האדיר, פריצה מחקה את הרווחים.
רווחי הקריפטו של MEV Bot הגיעו דרך הזדמנות מסחר בארביטראז'
רוברט מילר, עובד בפלאשבוטס, חברת מחקר, פנה לטוויטר כדי לדווח ההתקפה. הוא ציין שהבוט ה-Maximal Extractable Value (MEV) עם הקידומת 0xbadc0de הרוויח את אתר באמצעות עסקאות ארביטראז'. הוא אמר שהבוט צבר עד 800 ETH בשווי של כמיליון בעבודות.
הבוט מינף הזדמנות לארביטראז' ניכרת ממכירות סוחרים מההסבר של מילר. העסקה כללה כ-1.8 מיליון דולר ב-cUSDC באמצעות Uniswap v2, בורסה מבוזרת (DEX). המסחר הניב בתמורה נכסים של 500 דולר בלבד. לאחר זיהוי היתרון, הבוט ניצל מיד את זמינותו כדי להשיג רווחים עצומים.
אבל הרווח של הבוט לא יכול היה להישאר עוד הרבה זמן כאשר האקר גילה פגיעות בקוד המחורבן שלו. השחקן הרע השתמש במחדל כדי להערים עליו כדי לאשר עסקה. ההאקר מחק את יתרת הבוט, כ-1,101 ETH.
Ethereum יורד ב-3% במחיר l ETHUSDT באתר Tradingview.com
PeckShield, חברת אבטחת בלוקצ'יין, חשפה כי הבאג ניתן למעקב לשגרת ההתקשרות חזרה של הבוט. זה שימש כפרצה לניצול שדרכו אישר ההאקר כתובת שרירותית להוצאות.
התקפת פגיעות דומה
התקפות הפגיעות על מרחב הקריפטו מרקיעות שחקים. לדוגמה, מחולל כתובות יהירות של Ethereum, גסויות, רשם ניצול של פגיעות ב-18 בספטמבר. המתקפה הסתיימה בהפסד של 3.3 מיליון דולר של כספים מארנקים שונים.
1Inch Network, אגרגטור DEX, חקר את הניצול. ה-DEX גילה אי בהירות ביצירת הארנקים שנפגעו. זה הזהיר את משתמשי הארנק להעביר את הכספים שלהם בשל הסיכון הכרוך בשימוש בהם.
היה ניצול נוסף בכתובת של ארנק יוקרה רק שבוע אחרי זה של ניבולי פה. המתקפה הביאה לאובדן של חלק מהאתר בשווי של כמיליון דולר. ההאקרים העבירו את ההכנסות שלהם למזומן Tornado, מערבל הקריפטו שאושר לאחרונה.
תמונה מוצגת מ-Pixabay, תרשים: TradingView.com
