یک مهاجم بیش از ۷.۵ میلیون دلار از ربات مشهور MEV اتریوم با نام Jaredfromsubway.eth را با بهرهگیری از منطق معاملاتی خودکار آن و نه از طریق آسیبپذیری معمول قرارداد یا حمله فیشینگ سرقت کرد.
Jaredfromsubway.eth یکی از بدنامترین رباتهای MEV در اتریوم است که به حملات ساندویچ معروف است، نوعی استخراج حداکثری ارزش یا MEV که در آن معاملهگر خودکار، در حالتی که تراکنشی در صف قرار دارد، قبل از آن خرید میکند، کاربر قربانی را در قیمت بدتر قرار میدهد، و بلافاصله پس از آن میفروشد.
این فرآیند، نوعی ضرر پنهان و کوچک است که در طول هزاران معامله جمع میشود.
حملات ساندویچ معمولاً نوعی آسیبپذیری نیستند بلکه در جامعه رمزنگاری بهعنوان رفتاری تهاجمی و سودجو تلقی میشوند، رفتاری که ارزش کاربران را میدزدد، هزینههای گاز را افزایش میدهد و هم به نفع شبکه و هم به نفع کاربران نیست.
شرکت امنیتی Blockaid گفت حادثه روز شنبه یک حمله فیشینگ عادی نبود و مشکل سادهای در قرارداد قربانی نبوده است. مهاجم در واقع سیستم تصمیمگیری ربات را هدف قرار داد.
نحوه ساخت این حمله چندین هفته طول کشید، در آن مهاجم دهها قرارداد رمز تقلبی و استخرهای نقدینگی جعلی - که نوعی مجموعه توکن قفل شده در یک صرافی غیرمتمرکز است - ایجاد کرد که ظاهر معاملات سودآور داشتند. برخی از این توکنها مانند WETH (اتر پوشیده شده) و استیبلکوینهای USDC و USDT بودند.
این تله همانطور که انتظار میرفت عمل کرد. ربات Jaredfromsubway.eth فرصتهای MEV را تشخیص داد و مجوزهای لازم برای قراردادهای کمکی کنترلشده توسط مهاجم برای هزینه کردن توکنها را صادر کرد. این مجوزها بلافاصله در معاملات قبلی استفاده شدند، اما پس از آن مهاجم مسیرهایی را ایجاد کرد که مجوزها همچنان باز باقی میماندند.
این موضوع به مهاجم اجازه داد تا مجوزهای دائم برای برداشت وجوه داشته باشد و از این مجوزهای باز برای انتقال WETH، USDC و USDT خارج از قراردادهای Jaredfromsubway.eth استفاده کرد و بیش از ۷.۵ میلیون دلار سرقت کند.
برخی از وجوه سرقتشده بعدها به Tornado Cash ارسال شدند، همانطور که بررسی دادههای زنده نشان میدهد.
این وضعیت نشاندهنده تناقض محسوب میشود.
Jaredfromsubway.eth مدتها یکی از نمادهای منفی و سوءاستفادههای MEV در اتریوم بوده است. حملات ساندویچ هزینهای قریب به ۶۰ میلیون دلار در سال برای معاملهگران اتریوم داشته است، با تعداد ۶۰,۰۰۰ تا ۹۰,۰۰۰ حمله در ماه در بازه زمانی نوامبر ۲۰۲۴ تا اکتبر ۲۰۲۵.
حدود ۷۰٪ از این حملات مرتبط با Jaredfromsubway.eth بوده است که فعالیت خود را از اوایل سال ۲۰۲۳ آغاز کرده است.
در ماه مه، گزارش شد که همین ربات حتی یک تراکنش کوچک توسط Vitalik Buterin، هم بنیانگذار اتریوم، را ساندویچ کرده است. این ربات ۱.۱۴ میلیون دلار سرمایهگذاری کرد تا تراکنش Buterin را در اولویت قرار دهد و تنها ۴ دلار سود پس از هزینههای تراکنش کسب کند.
این تراکنش ارزش کمی داشت و ضرر آن ناچیز بود، اما نشان میداد که چقدر این ربات صنعتی شده است و تقریباً هر چیزی را در میان مِمپول خود بررسی میکند تا بتواند در اطراف آن قرار بگیرد.
اگرچه این حادثه تاثیری بر ضررهای ناشی از حملات ساندویچ ندارد، اما در عین حال نشان میدهد که خطر اجرای سیستمهایی که بر اساس شناخت الگو و سیگنالهای سود، تراکنشها را در سریعترین زمان ممکن تایید میکنند، وجود دارد.
Jaredfromsubway.eth سالها از معاملات کاربرانی سود برد که نمیدانستند این ربات موجود است، اما در روز شنبه، این ربات نیز نتوانست این تراکنش را پیشبینی کند.
