Het duurde slechts een uur voordat MEV Bot $ 1.4 miljoen verloor in Brazen Heist

Slachtoffer 'We Got Careless' vertelt hacker in poging om verloren ETH te herstellen

Een MEV-botoperator verdiende op 800 september 28 ETH in een enkele transactie, voordat hij slechts een uur later maar liefst 1,100 ETH verloor, volgens Bert Miller, de productleider van Flashbots, een MEV-onderzoeksteam.

Molenaar markeerde de transacties op Twitter. Hij zei dat het adres in kwestie, dat begint met de alfanumerieke code '0xbaDc0dE', de afgelopen maanden 220,000 transacties heeft uitgevoerd. De activiteit was zeer indicatief voor MEV-botgedrag.

Blijf Veilig

"Stel je voor dat je 800 ETH maakt in een enkele arb ... en een uur later dan 1100 ETH verliest aan een hacker", tweette Miller. "Blijf veilig en bescherm uw uitvoeringsfuncties."

MEV, of Maximale extraheerbare waarde, is een techniek die wordt gebruikt door validators en bot-operators om overtollige waarde te vangen van de slippage of spread die mogelijk wordt gemaakt door on-chain transacties op gedecentraliseerde blockchains. MEV-zoekers werken met validators om transacties opnieuw te ordenen of vooraf te gaan om te profiteren van de maximale vergoedingen of slippage die door Ethereum-gebruikers zijn toegestaan.

'Massive Dumping' van Ethereum Miners straft ETH

Verschuiving naar Proof of Stake Roilt ETH-markt, maar misschien alleen voor de korte termijn

Hoewel MEV vaak wordt gezien als risicovrije technieken, lijkt het debacle van 0xbaDc0dE aan te tonen dat dit niet het geval is. 

Miller zei dat het adres misbruik maakte van een gebruiker die probeerde om $ 1.8 miljoen aan cUSDC-tokens te verkopen - tokens waarmee houders USDC konden opnemen die in Compound, de geldmarkt-dApp - waren gestort, op Uniswap v2, ondanks dat de koppeling zeer illiquide was. 

De transactie vastzetten

De ongelukkige verkoper ontving slechts $ 500 van de transactie. 0xbaDc0dE verdiende echter 800 ETH ($ 1.02 miljoen) door de transactie te sandwichen met een uitgebreide arbitragehandel waarbij veel verschillende DeFi dApps betrokken waren.

Maar slechts een uur later was alle ETH van 0xbaDc0dE blijkbaar gestolen, waarbij een hacker 1,101 ETH ($ 1.4 miljoen) uit de portemonnee haalde. Miller merkte op dat 0xbaDc0dE de functie die ze gebruikten om flitsleningen op de dYdX-uitwisseling uit te voeren, niet had beveiligd.

Willekeurige uitvoering

"Als je een flitslening krijgt, zal het protocol waarvan je leent een gestandaardiseerde functie op je contract noemen," zei Miller. “De code van 0xbaDc0dE stond helaas willekeurige uitvoering toe. De aanvaller gebruikte dit om 0xbaDc0dE zover te krijgen om al hun WETH goed te keuren voor uitgaven [ing] aan hun contract."

PeckShield, het blockchain-beveiligingsbedrijf, zag de transactie ook. Ze plaatsten on-chain-berichten die werden verzonden tussen 0xbaDc0dE en hun aanvaller.

0xbaDc0dE eiste dat het geld voor het einde van 28 september zou worden teruggegeven en bood aan de aanvaller 20% van het geld te geven als ze hieraan zouden voldoen. 

"Gefeliciteerd hiermee, we zijn onvoorzichtig geworden en het is je zeker gelukt om ons goed te krijgen," 0xbaDc0dE zei. "Als het geld tegen die tijd niet is teruggegeven, hebben we geen andere keuze dan dienovereenkomstig te streven naar alles wat in onze macht ligt met de juiste autoriteiten om ons geld terug te krijgen", dreigden ze.

Maar de hacker lijkt onverstoorbaar, reageert, "hoe zit het met normale mensen die je hebt gemev'ed en letterlijk hebt geneukt? Breng je ze terug?" 

Ze boden sarcastisch aan om 1% van het gestolen geld terug te geven als 0xbaDc0dE alle winst die via MEV is gegenereerd aan nietsvermoedende Ethereum-gebruikers aan het einde van dezelfde dag zou teruggeven.

MEV-zoeker

Flashbots ontwikkelt software die is ontworpen om de belemmeringen om een ​​MEV-zoeker te worden te verminderen en om de winst die is verkregen door de extractie te delen met de bredere validatorgemeenschap van Ethereum. 

Het team kwam vorige maand onder vuur te liggen toen het bevestigde dat het zou zijn naleven met sancties van het Amerikaanse ministerie van Financiën tegen de crypto-mixservice Tornado Cash. Flashbots reageerde door een deel van de code voor zijn MEV-Boost-software open te sourcen, waarmee MEV uit Proof of Stake Ethereum-transacties kan worden geëxtraheerd.

Op 27 september zei Toni Wahrstatter, een Ethereum-onderzoeker, gerapporteerd dat er tot nu toe geen transacties met Tornado Cash-contracten zijn opgenomen in blokken die zijn geproduceerd met behulp van de MEV-Boost-software.