MEV-бот потерял $180 000 в ETH из-за уязвимости в системе контроля доступа
Автор: Ezra Reguerra
MEV-бот (бот, извлекающий максимальную извлекаемую ценность) потерял около $180 000 в Ether после того, как злоумышленник воспользовался уязвимостью в его системах контроля доступа.
8 апреля компания по безопасности блокчейна SlowMist сообщила о том, что MEV-бот потерял 116.7 Ether (ETH) из-за отсутствия контроля доступа. Специалист по угрозам Владимир Соболев, также известный как Officer’s Notes в X, рассказал Cointelegraph, что злоумышленник воспользовался уязвимостью в боте, заставив его обменять ETH на фиктивный токен.
Соболев отметил, что это было сделано через вредоносный пул, созданный атакующим в рамках одной транзакции. Специалист по угрозам добавил, что этого можно было бы избежать, если бы владелец MEV-бота внедрил более строгий контроль доступа.
Менее чем через 25 минут после эксплуатации владелец MEV-бота предложил вознаграждение атакующему. Затем владелец развернул нового MEV-бота с более строгой проверкой контроля доступа.
Соболев сравнил эту эксплуатацию с аналогичным инцидентом в 2023 году, когда MEV-боты потеряли $25 миллионов после эксплуатации. 23 апреля 2023 года боты, выполнявшие сделки "сэндвич", потеряли свою криптовалюту валидатору, который вышел из строя.
Рост числа поддельных руководств по MEV-ботам
MEV-бот на Ethereum — это торговый бот, который эксплуатирует максимальную извлекаемую ценность. Это максимальная прибыль, которую можно извлечь из производства блока. Это достигается путем переупорядочивания, вставки или цензуры транзакций внутри блока.
Бот наблюдает за пулом ожидающих транзакций в Ethereum и ищет потенциальную прибыль. Эти боты могут выполнять сделки "фронт-ран", "бэк-ран" или сделки "сэндвич". Это делает ботов весьма противоречивыми, поскольку они крадут ценность у обычных пользователей в периоды высокой волатильности или перегрузки сети.
Несмотря на споры вокруг MEV-ботов, многие продолжают их использовать. Однако новички, стремящиеся получить прибыль от этих ботов, часто попадают в ловушку, расставленную мошенниками.
Соболев рассказал Cointelegraph о росте числа мошеннических руководств по MEV-ботам в интернете. Специалист по угрозам отметил, что в этих руководствах предлагаются способы заработка с помощью MEV-ботов и публикуются поддельные инструкции по установке. «Очень часто это просто позволит хакерам украсть ваши деньги», - сказал Соболев.
Он призвал пользователей проверять свои источники и убедиться, что они не становятся жертвами мошенников.
