Основы Интернет - технологий.

Один из самых популярных MEV-ботов в сети Ethereum, JaredFromSubway, потерял около 15 млн долларов США после атаки на логику поиска прибыльных сделок. Злоумышленники создали поддельные токены и пулы ликвидности, вынудив систему выдать разрешения на списание средств. MEV-боты используются для анализа еще не подтвержденных транзакций в Ethereum и других блокчейнах, чтобы заработать на порядке их включения в блоки. JaredFromSubway известен как один из наиболее агрессивных ботов, применяющим так называемые «сэндвич-атаки». При такой атаке бот замечает ожидающую исполнения сделку пользователя и покупает актив прямо перед ней. Транзакция жертвы двигает цену, после чего бот сразу продает актив и забирает разницу. В результате обычный трейдер получает менее выгодный курс, а оператор бота — прибыль. Первыми эту атаку обнаружили специалисты компании Blockaid. Позже представители JaredFromSubway подтвердили, что злоумышленники действительно создавали для бота фиктивные маршруты обмена, которые выглядели как выгодные MEV-возможности. В результате JaredFromSubway автоматически анализировал такие маршруты, формировал необходимые транзакции и выдавал ERC-20 approval вспомогательным контрактам атакующего. То есть он разрешал злоумышленникам распоряжаться определенным количеством токенов от имени своего контракта. Как отмечает издание BleepingComputer, атакующие, судя по всему, тщательно подготовились к краже. Первые транзакции были безобидными и, вероятно, тестовыми: с их помощью хакеры изучали поведение бота. Затем атакующие изменили маршрут таким образом, чтобы выданные разрешения не использовались и не отзывались после завершения сделки. В результате подконтрольный атакующим helper-контракт постепенно накопил действующие разрешения на списание активов. В какой-то момент лимит только для WETH достиг 92,1614 токена. После этого хакеры воспользовались функцией transferFrom и вывели из контракта JaredFromSubway токены WETH, USDC и USDT. Общий ущерб составил около 15 млн долларов США. Сначала представители JaredFromSubway предложили хакерам вознаграждение в размере 3 млн долларов США за возврат всех украденных средств и пообещали не предпринимать никаких действий, включая юридические. Однако ответа от атакующих не последовало, после чего размер награды увеличили до 7,5 млн долларов США. При этом атакующих просили вернуть хотя бы половину похищенного, причем 1 млн долларов США обещали передать сообществу. Также сообщается, что представители JaredFromSubway ведут переговоры с некой группой белых хакеров, которая якобы может помочь вернуть украденные средства.