Jaredfromsubway.ethのMEVボット、承認トラップで資金流出 約750万ドルの被害を追跡

オンチェーン分析者とBlockaidによると、イーサリアムで最も活発なMEV（最大抽出可能価値）サンドイッチボットの一つであるJaredfromsubway.ethは土曜日、攻撃者が偽造トークンコントラクトと偽の流動性プールを用いて自動売買システムをだまし、攻撃者が支配するコントラクトへの承認を与えさせたことで資金を流出させられた。オンチェーンデータによれば、18:49 UTCの単一トランザクションで1,474.58 WETH、約287万USDC、約200万USDTが移動し、Blockaidは追跡された資産価値を約750万ドルと評価した。Lookonchainによると、攻撃者はその後、得た資金を約4,427 ETHに交換し、1,000 ETHをTornado Cashに入金した。bantegのフォレンジック報告書によれば、この仕組みはブロックで作動するスイッチを利用しており、小規模なテストバッチでは正常に動作する一方、大規模なバッチでは承認を開いたままにし、コーディネーターコントラクトが66の子コントラクト全体で「withdraw」を呼び出して、取引を介さず直接資金を引き出せるようにしていた。報告書はまた、受取アドレスがEIP-7702委任アカウントだったとしている。jaredfromsubway.ethの名前を使うXアカウントは1500万ドルの損失を主張し、100万ドルの報奨金を提示したが、複数の論者がなりすましの可能性を指摘しており、約750万ドルを超える損失を確認したセキュリティ企業はなかった。