Chỉ mất một giờ để MEV Bot mất 1.4 triệu đô la trong Brazen Heist

Nạn nhân 'We Got Careless' nói với hacker trong cuộc đấu thầu để lấy lại ETH bị mất

Theo Bert Miller, trưởng nhóm sản phẩm của Flashbots, một nhóm nghiên cứu MEV, một nhà điều hành bot MEV đã kiếm được 800 ETH trong một giao dịch vào ngày 28 tháng 1,100, trước khi mất số tiền khổng lồ XNUMX ETH chỉ một giờ sau đó.

Chủ xưởng bột được gắn cờ các giao dịch trên Twitter. Ông cho biết địa chỉ được đề cập, bắt đầu bằng mã chữ và số ‘0xbaDc0dE’, đã thực hiện 220,000 giao dịch trong vài tháng qua. Hoạt động này thể hiện rõ ràng hành vi của bot MEV.

Giữ an toàn

Miller đã tweet: “Hãy tưởng tượng kiếm được 800 ETH chỉ trong một arb… và một giờ sau đó mất 1100 ETH vào tay một hacker”. “Giữ an toàn và bảo vệ các chức năng thực thi của bạn.”

MEV, hoặc Giá trị có thể trích xuất tối đa, là một kỹ thuật được các nhà xác thực và người vận hành bot sử dụng để nắm bắt giá trị vượt quá từ sự trượt giá hoặc chênh lệch được kích hoạt bởi các giao dịch trên chuỗi trên các chuỗi khối phi tập trung. Người tìm kiếm MEV làm việc với các trình xác thực để sắp xếp lại hoặc chạy trước các giao dịch nhằm tận dụng mức phí hoặc trượt giá tối đa mà người dùng Ethereum cho phép.

'Bán phá giá hàng loạt' bởi thợ đào Ethereum trừng phạt ETH

Chuyển sang Proof of Stake Roils Thị trường ETH nhưng có lẽ chỉ trong ngắn hạn

Mặc dù MEV thường được coi là bao gồm các kỹ thuật không có rủi ro, nhưng sự thất bại của 0xbaDc0dE dường như cho thấy điều đó không phải vậy. 

Miller cho biết địa chỉ này đã lợi dụng một người dùng đã cố gắng bán cUSDC trị giá 1.8 triệu đô la – mã thông báo cho phép chủ sở hữu rút USDC gửi vào Hợp chất, thị trường tiền tệ dApp – trên Uniswap v2, mặc dù việc ghép nối này có tính thanh khoản cao. 

Kẹp giao dịch

Người bán không may mắn chỉ nhận được 500 USD từ giao dịch. Tuy nhiên, 0xbaDc0dE đã bỏ túi 800 ETH ($1.02 triệu) bằng cách kết hợp giao dịch với một giao dịch chênh lệch giá phức tạp liên quan đến nhiều dApp DeFi khác nhau.

Nhưng chỉ một giờ sau, toàn bộ ETH của 0xbaDc0dE dường như đã bị đánh cắp, hacker đã lấy đi 1,101 ETH ($1.4 triệu) từ ví. Miller lưu ý rằng 0xbaDc0dE đã không bảo vệ được chức năng mà chúng sử dụng để thực hiện các khoản vay flash trên sàn giao dịch dYdX.

Thi hành tùy tiện

Miller nói: “Khi bạn nhận được một khoản vay nhanh, giao thức mà bạn đang vay sẽ gọi một chức năng được tiêu chuẩn hóa trong hợp đồng của bạn. “Thật không may, mã của 0xbaDc0dE đã được phép thực thi tùy ý. Kẻ tấn công đã sử dụng điều này để khiến 0xbaDc0dE phê duyệt tất cả WETH của họ để chi tiêu [ing] cho hợp đồng của họ.”

PeckShield, công ty bảo mật blockchain, cũng phát hiện ra giao dịch này. Họ đã đăng các tin nhắn trên chuỗi được gửi giữa 0xbaDc0dE và kẻ tấn công của họ.

0xbaDc0dE yêu cầu trả lại số tiền này trước cuối ngày 28 tháng 20, đồng thời đề nghị chia cho kẻ tấn công XNUMX% ​​số tiền nếu chúng tuân thủ. 

“Xin chúc mừng vì điều này, chúng tôi đã bất cẩn và bạn chắc chắn đã giúp chúng tôi thành công,” 0xbaDc0dE nói. Họ đe dọa: “Nếu đến lúc đó số tiền không được trả lại, chúng tôi sẽ không có lựa chọn nào khác ngoài việc theo đuổi bằng mọi cách trong khả năng của mình với các cơ quan thích hợp để lấy lại số tiền của chúng tôi”.

Nhưng tên hacker tỏ ra bình thản, đáp ứng, “Còn những người bình thường mà bạn đã MEV và theo đúng nghĩa đen là đụ họ thì sao? Bạn sẽ trả lại chúng chứ?” 

Họ mỉa mai đề nghị trả lại 1% số tiền bị đánh cắp nếu 0xbaDc0dE trả lại tất cả lợi nhuận được tạo ra thông qua MEV cho những người dùng Ethereum không nghi ngờ vào cuối ngày hôm đó.

Trình tìm kiếm MEV

Flashbots phát triển phần mềm được thiết kế để giảm bớt các rào cản để trở thành người tìm kiếm MEV và chia sẻ lợi nhuận thu được thông qua việc khai thác nó tới cộng đồng trình xác thực rộng lớn hơn của Ethereum. 

Nhóm đã bị chỉ trích vào tháng trước khi xác nhận rằng nó sẽ tuân thủ với các lệnh trừng phạt của Bộ Tài chính Hoa Kỳ nhắm vào dịch vụ trộn tiền điện tử Tornado Cash. Flashbots đã phản hồi bằng cách cung cấp nguồn mở một số mã cho phần mềm MEV-Boost, cho phép trích xuất MEV từ các giao dịch Proof of Stake Ethereum.

Vào ngày 27 tháng XNUMX, Toni Wahrstatter, một nhà nghiên cứu Ethereum, báo cáo cho đến nay, không có giao dịch nào tương tác với hợp đồng Tornado Cash đã được đưa vào các khối được tạo bằng phần mềm MEV-Boost.