Арбітражны гандлёвы бот Ethereum здолеў сарваць джэк-пот і прайграць усё ў той жа дзень у выніку іранічнага павароту падзей у дэцэнтралізаваныя фінансы (DeFi).
У тэме Twitter Роберт Мілер, які працуе ў даследчай фірме Flashbots, агульныя як бот Maximal Extractable Value (MEV) з прэфіксам 0xbadc0de змог зарабіць 800 эфіраў (ETH), каля 1 мільёна долараў, праз арбітражныя здзелкі.
Па словах Мілера, бот скарыстаўся вялікай арбітражнай магчымасцю, якая з'явілася, калі трэйдар паспрабаваў прадаць 1.8 мільёна долараў у cUSDC праз дэцэнтралізаваны абмен (DEX) Uniswap v2 і атрымаў узамен актываў на суму толькі 500 долараў. Бот выявіў гэты шанец і неадкладна прыступіў да дзеяння і атрымаў велізарны прыбытак.
Аднак толькі праз гадзіну хакер выкарыстаў уразлівасць у «дрэнным кодзе» 0xbadc0de і падманам прымусіў яго аўтарызаваць транзакцыю, у выніку якой яго баланс у памеры 1,101 ETH, які на момант напісання артыкула складаў каля 1.41 мільёна долараў, быў зняты.
#MEV Вельмі прыбытковы бот MEV з унутранай назвай 0xbad быў нейкім чынам падмануты/узламаны са стратай 1,101 ETH (~1.45 мільёна долараў) у наступнай перадачы: https://t.co/FxXSY8AyhX
- PeckShield Inc. (@peckshield) Верасень 27, 2022
Па словах фірмы па бяспецы блокчэйна PeckShield, памылка можа быць прасочана да працэдуры зваротнага выкліку бота, і гэта было эксплуатаваны хакерам зацвердзіць адвольны адрас для выдаткаў.
Па тэме: Генеральны дырэктар Pantera настроены на DeFi, Web3 і NFT па меры запуску Token2049
18 верасня была выкарыстана ўразлівасць у Profanity, генератары дармаедных адрасоў Ethereum, выцягнуў 3.3 мільёна долараў з розных кашалькоў. Даследаванні, праведзеныя агрэгатарам дэцэнтралізаванай біржы (DEX) 1inch Network, паказалі, што існуе неадназначнасць з пункту гледжання стварэння кашалькоў. DEX папярэдзіў карыстальнікаў, што іх кашалькі знаходзяцца пад пагрозай, і заклікаў іх перадаць свае актывы.
Больш чым праз тыдзень быў выкарыстаны іншы адрас кашалька знялі амаль 1 мільён долараў каштуе ETH. Пасля крадзяжу сродкаў хакеры неадкладна адправілі іх у спрэчны крыпта-міксер Tornado Cash.
Крыніца: https://cointelegraph.com/news/mev-bot-earns-1m-but-loses-everything-to-a-hacker-an-hour-later