Det tog bara en timme för MEV Bot att förlora $1.4 miljoner i Brazen Heist

"We Got Careless"-offret säger till Hacker i bud att återställa förlorad ETH

En MEV-botoperatör gjorde 800 ETH i en enda transaktion den 28 september innan han förlorade hela 1,100 XNUMX ETH bara en timme senare, enligt Bert Miller, produktledaren för Flashbots, ett MEV-forskarteam.

Mjölnare flaggad transaktionerna på Twitter. Han sa att adressen i fråga, som börjar med den alfanumeriska koden "0xbaDc0dE", utförde 220,000 XNUMX transaktioner under de senaste månaderna. Aktiviteten var mycket tecken på MEV-botbeteende.

Var försiktig

"Föreställ dig att göra 800 ETH i en enda arb ... och en timme senare sedan förlora 1100 ETH till en hackare," twittrade Miller. "Var säker och skydda dina exekveringsfunktioner."

MEV, eller Maximalt extraherbart värde, är en teknik som används av validatorer och botoperatörer för att fånga övervärde från glidningen eller spridningen som möjliggörs av transaktioner i kedjan på decentraliserade blockkedjor. MEV-sökare samarbetar med validatorer för att omordna eller köra transaktioner i förväg för att dra fördel av de maximala avgifter eller avvikelser som tillåts av Ethereum-användare.

"Massive Dumping" av Ethereum Miners straffar ETH

Byt till Proof of Stake Roils ETH-marknaden men kanske bara på kort sikt

Medan MEV ofta ses som att omfatta riskfria tekniker, verkar 0xbaDc0dE:s debacle visa att det inte är det. 

Miller sa att adressen utnyttjade en användare som försökte sälja cUSDC till ett värde av 1.8 miljoner dollar – tokens som gör det möjligt för innehavare att ta ut USDC insatta i Compound, penningmarknadens dApp – på Uniswap v2, trots att parningen är mycket illikvid. 

Lägga ihop transaktionen

Den oturliga säljaren fick bara $500 från transaktionen. 0xbaDc0dE fick dock 800 ETH (1.02 miljoner USD) i fickan genom att lägga in transaktionen med en utarbetad arbitragehandel som involverade många olika DeFi dApps.

Men bara en timme senare stals uppenbarligen hela 0xbaDc0dE:s ETH, med en hacker som fick 1,101 1.4 ETH ($0 miljoner) från plånboken. Miller noterade att 0xbaDcXNUMXdE hade misslyckats med att skydda funktionen de använde för att utföra flashlån på dYdX-börsen.

Godtycklig avrättning

"När du får ett flashlån kommer protokollet du lånar från att kalla en standardiserad funktion på ditt kontrakt," sa Miller. "0xbaDc0dEs kod tillåts tyvärr godtycklig exekvering. Angriparen använde detta för att få 0xbaDc0dE att godkänna alla deras WETH för att spendera på deras kontrakt."

PeckShield, blockchain-säkerhetsföretaget, såg också transaktionen. De postade meddelanden i kedjan som skickades mellan 0xbaDc0dE och deras angripare.

0xbaDc0dE krävde att pengarna skulle återlämnas i slutet av den 28 september, och erbjöd sig att ge angriparen 20 % av medlen om de skulle följa. 

"Grattis till detta, vi blev slarviga och du lyckades verkligen få oss bra," 0xbaDc0dE sade. "Om pengarna inte skulle återlämnas vid det laget, kommer vi inte att ha något annat val än att fortsätta med allt som står i vår makt med lämpliga myndigheter för att få tillbaka våra medel", hotade de.

Men hackaren verkar oberörd, reagera, "hur är det med normala människor som du har MEV'ed och bokstavligen knullat dem? Kommer du att lämna tillbaka dem?" 

De erbjöd sig sarkastiskt att återbetala 1% av de stulna medlen om 0xbaDc0dE skulle returnera alla vinster som genererats genom MEV till intet ont anande Ethereum-användare i slutet av samma dag.

MEV-sökare

Flashbots utvecklar mjukvara utformad för att minska hindren för att bli en MEV-sökare och för att dela vinster som samlats in genom dess utvinning till Ethereums bredare valideringsgemenskap. 

Teamet blev under eld förra månaden när det bekräftade att det skulle bli det uppfyller med sanktioner från det amerikanska finansdepartementet riktade mot kryptoblandningstjänsten Tornado Cash. Flashbots svarade med att öppna en del av koden för sin MEV-Boost-mjukvara, som möjliggör utvinning av MEV från Proof of Stake Ethereum-transaktioner.

Den 27 september, Toni Wahrstatter, en Ethereum-forskare, rapporterade att noll transaktioner som interagerar med Tornado Cash-kontrakt har inkluderats i block som producerats med MEV-Boost-mjukvaran hittills.