Взломы и эксплойты все больше укореняются в криптопространстве. С принятием цифровых активов во всем мире растет и число преступлений. Преступники используют более технологичные подходы для помощи в эксплуатации и взломе протоколов и платформ. Достаточно небольшой и незначительной лазейки, чтобы привести к таким взломам.
MEV bot, бот для арбитражной торговли на Ethereum, собрал в качестве джекпота огромный приз в размере 1 миллиона долларов. Однако радость от выигрыша была недолгой, поскольку спустя несколько часов события обернулись для него негативно. Не успев как следует осмыслить огромную сумму, хакер уничтожил выигрыш.
Криптоприбыль MEV Bot's Crypto Gains была получена благодаря возможности арбитражной торговли
Роберт Миллер, сотрудник исследовательской фирмы Flashbots, сообщил об атаке в Twitter. Он отметил, что бот Maximal Extractable Value (MEV) с префиксом 0xbadc0de зарабатывал Ether посредством арбитражных сделок. По его словам, бот заработал до 800 ETH на сумму около 1 миллиона.
Бот использовал значительную арбитражную возможность от продаж трейдеров из объяснения Миллера. В сделке участвовало около $1,8 млн в cUSDC через Uniswap v2, децентрализованную биржу (DEX). Торговля принесла всего $500 активов в качестве прибыли. Обнаружив преимущество, бот немедленно воспользовался его наличием, чтобы получить огромный заработок.
Но выигрыш бота не заставил себя долго ждать, когда хакер обнаружил уязвимость в его паршивом коде. Злой агент воспользовался этой брешью, чтобы обманом заставить бота разрешить транзакцию. Хакер стер баланс бота, около 1 101 ETH.
PeckShield, компания по безопасности блокчейна, показала, что ошибка прослеживается в процедуре обратного вызова бота. Это послужило лазейкой для эксплойта, с помощью которого хакер одобрил произвольный адрес для расходования средств.
Аналогичная атака на уязвимость
Атаки на уязвимости в криптовалютном пространстве стремительно растут. Например, 18 сентября генератор тщеславных адресов Ethereum, Profanity, зафиксировал эксплойт уязвимости. Атака закончилась потерей средств на сумму 3,3 миллиона долларов с различных кошельков.
1Inch Network, агрегатор DEX, исследовал эксплойт. DEX обнаружил некоторую двусмысленность в создании скомпрометированных кошельков. Он предупредил пользователей кошельков о необходимости перевести свои средства из-за риска, связанного с их использованием.
Всего через неделю после Profanity был совершен еще один эксплойт на адрес тщеславного кошелька. В результате атаки было потеряно некоторое количество Эфира стоимостью около 1 миллиона долларов. Хакеры перевели вырученные средства в Tornado cash, криптомикшер, который недавно попал под санкции.
Изображение с сайта Pixabay, графика: TradingView.com
Источник