Le bot MEV de Jaredfromsubway.eth vidé pour 7,5 millions de dollars lors d'une contre-attaque

D’après Blockaid, Jaredfromsubway.eth, l’un des MEV bots les plus performants de la crypto, a été vidé de plus de 7,5 millions de dollars récemment après qu’un attaquant a exploité la logique d’exécution automatisée du bot. L’attaquant a déployé 66 faux contrats de token imitant Wrapped ETH, USDC et USDT, associés à de fausses pools de liquidité conçus pour paraître comme des opportunités de trading rentables. À mesure que le bot interagissait avec ces contrats, il accordait des approvals à des contrats d’aide contrôlés par l’attaquant, donnant à ce dernier accès à sa trésorerie.

Le directeur technique (CTO) de Blockaid, Raz Niv, a décrit l’incident comme une attaque de type counter-MEV honeypot visant la logique de décision minimisant la confiance sur laquelle reposent les MEV bots. L’attaquant a ensuite exécuté une seule transaction en appelant les 66 backdoors pour récupérer l’ETH, l’USDC et l’USDT depuis les adresses concernées. Une partie des fonds volés a ensuite été envoyée à Tornado Cash, un service de mélange crypto. L’exploit révèle qu’une automatisation très rentable conçue pour exploiter les inefficacités du marché peut elle-même devenir vulnérable lorsque des attaquants comprennent les schémas de comportement du bot et ses mécanismes d’approbation.