Levou apenas uma hora para o MEV Bot perder US $ 1.4 milhão em um assalto descarado

Vítima de 'We Got Careless' diz a hacker em tentativa de recuperar ETH perdida

Um operador de bot MEV ganhou 800 ETH em uma única transação em 28 de setembro, antes de perder impressionantes 1,100 ETH apenas uma hora depois, de acordo com Bert Miller, líder de produto da Flashbots, uma equipe de pesquisa MEV.

moleiro marcado as transações no Twitter. Ele disse que o endereço em questão, que começa com o código alfanumérico ‘0xbaDc0dE’, executou 220,000 mil transações nos últimos meses. A atividade foi altamente indicativa do comportamento do bot MEV.

Fique seguro

“Imagine ganhar 800 ETH em uma única arbitragem… e uma hora depois perder 1100 ETH para um hacker”, tuitou Miller. “Fique seguro e proteja suas funções de execução.”

MEV, ou Valor máximo extraível, é uma técnica usada por validadores e operadores de bot para capturar o excesso de valor do deslizamento ou spread possibilitado por transações em cadeia em blockchains descentralizadas. Os pesquisadores do MEV trabalham com validadores para reordenar ou antecipar transações para aproveitar as taxas máximas ou derrapagens permitidas pelos usuários do Ethereum.

'Massive Dumping' por Ethereum Miners pune ETH

Mudança para prova de participação agita o mercado de ETH, mas talvez apenas no curto prazo

Embora o MEV seja frequentemente visto como abrangendo técnicas livres de risco, o desastre de 0xbaDc0dE parece mostrar que não é assim. 

Miller disse que o endereço se aproveitou de um usuário que tentou vender US$ 1.8 milhão em cUSDC – tokens que permitem aos detentores sacar USDC depositados no Compound, o dApp do mercado monetário – no Uniswap v2, apesar do par ser altamente ilíquido. 

Sanduíche da transação

O azarado vendedor recebeu apenas US$ 500 pela transação. No entanto, 0xbaDc0dE embolsou 800 ETH (US$ 1.02 milhão) ao imprensar a transação com uma elaborada negociação de arbitragem envolvendo muitos DeFi dApps diferentes.

Mas apenas uma hora depois, todo o ETH de 0xbaDc0dE foi aparentemente roubado, com um hacker retirando 1,101 ETH (US$ 1.4 milhão) da carteira. Miller observou que 0xbaDc0dE não conseguiu proteger a função usada para executar flashloans na exchange dYdX.

Execução Arbitrária

“Quando você obtém um flashloan, o protocolo do qual você está pedindo empréstimo acionará uma função padronizada em seu contrato”, disse Miller. “Infelizmente, o código de 0xbaDc0dE permitia execução arbitrária. O invasor usou isso para fazer com que 0xbaDc0dE aprovasse todo o seu WETH para gastar em seu contrato.”

PeckShield, empresa de segurança blockchain, também detectou a transação. Eles postaram mensagens na rede enviadas entre 0xbaDc0dE e seu invasor.

0xbaDc0dE exigiu que os fundos fossem devolvidos até o final de 28 de setembro, oferecendo ao invasor 20% dos fundos caso ele cumprisse. 

“Parabéns por isso, fomos descuidados e você com certeza conseguiu nos deixar bem,” 0xbaDc0dE dito. “Se os fundos não forem devolvidos até lá, não teremos outra escolha senão prosseguir com tudo o que estiver ao nosso alcance com as autoridades competentes para recuperar os nossos fundos”, ameaçaram.

Mas o hacker parece imperturbável, responder, “e as pessoas normais que você fez MEV e literalmente transou com elas? Você vai devolvê-los? 

Eles sarcasticamente se ofereceram para devolver 1% dos fundos roubados caso 0xbaDc0dE devolvesse todos os lucros gerados através do MEV para usuários desavisados ​​do Ethereum até o final do mesmo dia.

Pesquisador MEV

Flashbots desenvolve software projetado para reduzir as barreiras para se tornar um pesquisador de MEV e compartilhar os lucros obtidos por meio de sua extração para a comunidade mais ampla de validadores do Ethereum. 

A equipe foi criticada no mês passado quando confirmou que seria cumprindo com sanções do Departamento do Tesouro dos EUA visando o serviço de mistura de criptografia Tornado Cash. A Flashbots respondeu abrindo o código de parte do código de seu software MEV-Boost, que permite a extração de MEV de transações Proof of Stake Ethereum.

Em 27 de setembro, Toni Wahrstatter, pesquisadora da Ethereum, relatado que nenhuma transação interagindo com contratos Tornado Cash foi incluída em blocos produzidos usando o software MEV-Boost até o momento.