Le bot MEV JaredFromSubway a perdu 15 millions de dollars sur Ethereum. Un attaquant a détourné la logique de détection d’opportunités en créant de faux échanges de cryptomonnaies.
La société de sécurité blockchain Blockaid a signalé ce vol samedi. JaredFromSubway a confirmé que l’attaquant avait utilisé de faux pools et de faux jetons pour piéger le bot, qui a alors approuvé des contrats contrôlés par l’ennemi.
Selon Blockaid, l’attaquant a déployé des contrats conçus pour simuler des opportunités MEV rentables. Le système d’exécution automatisé du bot les a analysés comme des transactions financièrement avantageuses. Il a ensuite généré les opérations nécessaires pour les réaliser, ce qui a accordé des autorisations de dépense en jetons ERC-20 aux contrats de l’attaquant.
L’attaquant a préparé son coup avec soin. Les premières transactions étaient des tests inoffensifs qui ont permis de confirmer le comportement automatique du bot. Par la suite, la voie d’exécution a été modifiée pour que les autorisations accordées ne soient pas consommées ni révoquées immédiatement.
L’assaillant a ainsi accumulé des droits de dépense valides sans les utiliser sur-le-champ. Il a finalement obtenu l’approbation de 92,1614 WETH pour un contrat sous son contrôle.
Pour terminer, l’attaquant a utilisé ces autorisations ouvertes pour retirer des WETH, des USDC et des USDT du contrat du bot MEV JaredFromSubway via la fonction ‘transferFrom’.
Le retour de manivelle
Les bots MEV sont des systèmes de trading automatisés ultrarapides. Ils scrutent Ethereum et d’autres blockchains pour saisir des opportunités de gain. Ils exploitent l’ordre et le moment des transactions avant leur inclusion dans un bloc.
JaredFromSubway est une opération MEV privée dont le code n’est pas public. Elle est connue comme l’une des activités de bot « sandwich » les plus agressives et les plus visibles sur Ethereum.
Lors d’une attaque sandwich, le bot repère un échange en attente d’un utilisateur. Il place un ordre d’achat juste avant cette transaction, puis un ordre de vente juste après. Il profite ainsi du mouvement de prix provoqué par l’opération de la victime.
Cette pratique est contestée car elle dégrade souvent les prix pour les traders ordinaires, tandis que l’opérateur du bot engrange des bénéfices.
Dans un premier temps, JaredFromSubway a proposé une prime de 3 millions de dollars à l’attaquant contre la restitution totale des fonds volés, avec la promesse de ne pas engager de poursuites.
Face à l’absence de réponse, JaredFromSubway a porté la prime à 7,5 millions de dollars pour le retour de seulement 50% du butin, dont un million serait reversé à la communauté.
JaredFromSubway négocie également avec « un groupe de pirates éthiques » au sujet des 15 millions de dollars dérobés, mais aucun accord n’est encore confirmé.