- Боты MEV у сетцы Ethereum выклікалі заклапочанасць адносна бяспекі DEX.
- Транзакцыі, якія выкарыстоўваюць бота, замянілі транзакцыі ахвяры.
- Нядаўні эксплойт прывёў да агульнай страты каля 25 мільёнаў долараў.
Па словах PeckShield, аналітычнай фірмы па бяспецы блокчейнов, нядаўні інцыдэнт з удзелам сэндвіч-факусаваных ботаў MEV у сетцы Ethereum выклікаў заклапочанасць наконт бяспекі дэцэнтралізаваных біржаў (DEX). Пакеты, якія павінны былі выконваць зваротныя свопы і фіксаваць прыбытак, аказаліся зламанымі, а зваротныя транзакцыі былі адменены. Гэта прывяло да пытанняў аб тым, хто вінаваты ў эксплойце.
Згодна з аналізам, транзакцыі, якія выкарыстоўваюць бота, замянілі транзакцыі ахвяры, якія ўжо ўключалі зваротны своп для фіксацыі прыбытку. Паведамляецца, што гэта выклікала занепакоенасць патэнцыйнымі рызыкамі, звязанымі з выкарыстаннем ботаў MEV на DEX, і неабходнасцю больш надзейных мер бяспекі для прадухілення такіх інцыдэнтаў.
Далейшы аналіз нядаўняга эксплойта паказаў, што скрадзеныя сродкі ў асноўным знаходзяцца па трох адрасах: 0x3c98…8eb ($20 млн), 0x5b04…5b6 ($2.3 млн) і 0x27bf…f69 (~$3 млн). Цікава, што было таксама выяўлена, што Kucoin, цэнтралізаваная біржа крыптавалют, першапачаткова фінансавала восем адрасоў, якія ўдзельнічалі ў эксплойце.
Па словах Punk #3155, карыстальніка Twitter і распрацоўшчыка Smart Contract, нядаўні эксплойт прывёў да агульнай страты каля 25 мільёнаў долараў. Мяркуецца, што гэта выклікала падазрэнні ў замяшанні фальшывага валідатара, паколькі Aztec фінансаваў аўтара эксплойта. Паводле яго слоў, інцыдэнт можа стаць значным паваротным момантам для ўсёй экасістэмы MEV, і гэта выглядае як добра спланаваная атака.
Далейшы аналіз эксплойта паказаў, што злачынец стаў валідатарам толькі 18 дзён таму і падрыхтаваў токены 16 дзён таму. Як выказаў здагадку распрацоўшчык, для вызначэння поўнага маштабу інцыдэнту неабходна вывучыць шмат дэталяў.
Крыніца: https://coinedition.com/25m-siphoned-in-ethereum-mev-exploit-peckshieldalert/