Một hacker đã rút khoảng 7.5 triệu USD khỏi bot MEV JaredFromSubway – hệ thống sandwich-attack hoạt động mạnh nhất trên Ethereum – sau khi lừa bot này phê duyệt chi tiêu token mà lẽ ra không được phép.
Công ty an ninh mạng Blockaid, đơn vị phát hiện vụ việc, cho biết bot không gặp lỗi hợp đồng thông minh, không bị tấn công lừa đảo (phishing), cũng không bị lộ private key. Thay vào đó, hacker đã lợi dụng chính thuật toán tìm kiếm lợi nhuận của bot để chống lại nó.
Cách bot MEV bị lừa
Bot MEV JaredFromSubway sử dụng chiến lược tự động quét mempool của Ethereum để tìm kiếm các giao dịch có thể sinh lời. Phương pháp này được gọi là maximal extractable value.
Bot này thường thực hiện front-run và back-run các giao dịch khác để “kẹp” giữa nhằm hưởng chênh lệch giá, cách này gọi là sandwich attack.
Cái tên này trở nên nổi tiếng vào tháng 04/2023 khi chỉ trong một ngày, bot đã tiêu tốn hơn 1 triệu USD tiền gas của Ethereum – tương đương khoảng 8% tổng chi phí gas lúc đó trên toàn mạng lưới. Xem chi tiết.
Hacker đã dành nhiều tuần để tạo ra 66 hợp đồng token giả, giả mạo các token phổ biến như Wrapped Ether (WETH), USD Coin (USDC) và Tether (USDT).
Đối với bot, các hợp đồng token giả này rất giống với các tuyến giao dịch mà nó thường theo đuổi. Bot lập tức “dính bẫy” và phê duyệt quyền chi tiêu cho các hợp đồng do hacker kiểm soát. Chỉ một lần phê duyệt đã giúp hacker lấy hơn 92 WETH.
Một hợp đồng cuối cùng đã tận dụng các quyền truy cập này để quét sạch tài sản thật từ bot.
Bẫy đảo ngược MEV
Bẫy này đã biến lợi thế về tốc độ và sự hung hãn của bot thành điểm yếu để khai thác. Việc “săn” các bot MEV không phải là điều mới. Trong năm 2023, một validator đã “hắc ám” và rút khoảng 25 triệu USD từ các bot MEV sandwich.
“Các hợp đồng do hacker kiểm soát đã lừa hệ thống MEV tự động phê duyệt quyền chi tiêu token, sau đó dùng để rút tiền”, Blockaid cho biết.
Những cuộc tấn công sandwich như thế này lâu nay vẫn bị chỉ trích là loại “thuế ẩn” lên các nhà đầu tư nhỏ lẻ.
Người vận hành bot ước tính thiệt hại lên đến gần 15 triệu USD. Họ cũng treo thưởng 1 triệu USD cho ai hoàn trả lại số tiền đã mất. Blockaid và PeckShield định giá khoản tài sản bị rút thực tế khoảng 7.5 triệu USD, nằm ở các token WETH, USDC và USDT.
Hiện khả năng thu hồi lại số tiền này phụ thuộc vào việc hacker có chấp nhận lời đề nghị hoàn trả hay không.
