Известный в сети Ethereum MEV-бот Jaredfromsubway.eth стал жертвой атаки, в результате которой потерял более 7,5 миллиона долларов США в цифровых активах.
По данным компании Blockaid, злоумышленник использовал сеть подконтрольных смарт-контрактов и сумел ввести в заблуждение автоматизированную систему исполнения бота. Это позволило ему добиться выдачи разрешений на управление токенами и впоследствии вывести средства.
Эксперты подчеркнули, что инцидент не относится ни к классическим фишинговым атакам, ни к традиционным уязвимостям в смарт-контрактах жертвы.
Как отмечают специалисты, атакующий создал десятки поддельных токенов, замаскированных под популярные активы вроде WETH, USDC и USDT, а также связал их с фальшивыми пулами ликвидности. В результате схема выглядела как набор потенциально прибыльных сделок, на которые обычно реагируют MEV-боты при поиске возможностей для проведения сэндвич-атак.
В ходе атаки система Jaredfromsubway.eth предоставила вспомогательным контрактам злоумышленника права на распоряжение настоящими активами. После этого хакер одной транзакцией активировал подготовленные механизмы и вывел средства.
Согласно данным Arkham, часть похищенных активов уже была переведена через миксер Tornado Cash.