イーサリアムで最も活発なサンドイッチアタック型MEVボットの1つである「JaredFromSubway」が、承認すべきでなかったトークン送金を騙されて許可し、約750万ドルを攻撃者に奪取された。
この事案を指摘したセキュリティ企業のBlockaidによると、同ボットはスマートコントラクトの不具合、フィッシング攻撃、秘密鍵漏洩のいずれにも該当しない。攻撃者はボット自身の利益追求ロジックを逆用した。
MEVボットはどう騙されたか
JaredFromSubway MEVボットは、イーサリアムのメンポール上で利益が得られる取引を自動で検索する戦略を運用してきた。この手法は最大抽出可能価値(MEV)として知られる。
ボットは他の取引をフロントランやバックランで挟み込み、価格差を獲得する「サンドイッチアタック」を用いる。
このボットは2023年4月に悪名を高めた。1日で100万ドル超をガス代として消費し、イーサリアム全体のガス代支出の約8%を占めた。
攻撃者は数週間かけて66件の偽造トークンコントラクトを配置した。偽トークンはWrapped Ether(WETH)、USDコイン(USDC)、テザー(USDT)を模倣した。
ボットからは、これらのコントラクトが標的とするパスに見えた。ボットは攻撃者が管理する補助コントラクトへの送金を承認した。1件の承認で92WETH超を引き渡した。
最終的なコントラクトがこれらのオープンな承認枠を利用し、ボットから実際の資金を抜き取った。
逆MEVトラップ
このトラップはボットの速度と攻撃性を弱点に変えた。MEVボットを狩る手法は新しくない。2023年には、不正バリデータがMEVサンドイッチボットから約2500万ドルを抜き取った。
「攻撃者が管理するコントラクトが自動MEV実行システムを欺き、トークン承認を与えさせ、それが後に資金流出に利用された」とBlockaidは指摘した。
こうしたサンドイッチアタックは、長年にわたり一般トレーダーへの「見えない税金」として批判されてきた。
ボットの運営者は、損失は1500万ドル程度と見積もる。同時に資金返還を条件に100万ドルの報奨金も提示した。BlockaidとPeckShieldはオンチェーンで流出した資産をWETH、USDC、USDT合計で約750万ドルと評価している。
いかなる資金回収も、今後攻撃者がこのオファーに応じるかにかかっている。
