Si JaredFromSubway—isa sa mga pinakakilalang MEV bot sa Ethereum—ay nahuli sa isang hindi karaniwang exploit na nagbawas ng halos $7.5 milyon sa WETH, USDC, at USDT. Detalyado ng blockchain security firm na Blockaid ang insidente sa a security report covered by WuBlockchain, at isinalarawan ito bilang isang bagong pag-atake sa lohika ng pagdedesisyon ng bot kaysa sa isang tradisyonal na vulnerability sa smart contract. Ang pagkawala ay nagbabago ng paraan kung paano tutugon ang automated trading infrastructure sa Ethereum sa mga panganib.
Ipinatupad ng attacker ang mga kontrata na nagpapakita sa automated na sistema ni JaredFromSubway upang bigyan ng token approvals. Pagkatapos magkaroon ng mga pahintulot, inilipat ng mang-aabuso ang mga timbang ng WETH, USDC, at USDT ng bot. Walang phishing attack at walang kahinaan sa mga ipinatupad na smart contract. Pinaliwanag ng Blockaid na ang insidente ay nag-exploit sa “automated na MEV opportunity detection at approval mechanism ng bot,” isang kategorya ng panganib na nakatanggap ng mas kaunting pansin kaysa sa code audits.
Mahalaga ang pagkakaiba na ito. Ang sariling lohika ng bot—ang bahagi na nag-e-evaluate sa mga pending transaction at nagpapasya kung magiging frontrun, backrun, o sandwich ang trade—ay gumawa ng isang serye ng mga desisyon na nagbigay sa attacker ng puntos ng pagpasok. Dahil ang mga pagpapahintulot ay ibinigay sa loob ng normal na workflow ng bot, ang mga standard na pag-iingat na ginagamit ng wallets at protocols laban sa mga human user ay hindi lumalapat. Tagal nang umiikot nang matagumpay si JaredFromSubway sa Ethereum, kung saan ang MEV ay naging isang espesyalisadong at napakasikat na negosyo. Ang network ay nananatiling pangunahing chain para sa DeFi, ayon sa kamakailang data sa developer activity across top blockchains, na nangangahulugan na ang ganitong uri ng bot ay kinokontrol ang napakalaking dami ng halaga araw-araw.
Isang Logic Exploit, Hindi Isang Code Exploit
Ang mekanika ng trik ay simpleng. Ang attacker ay naglikha ng mga sequence ng transaksyon na tila nagtataglay ng mapapakinabangang MEV opportunities sa mga sensor ng bot. Nang tumalon ang bot, ito ay naka-program upang magtakda ng allowances para sa mga token na kailangan niyang i-interact—isang normal na pattern na nagpapababa ng gas costs sa paulit-ulit na pagpapatakbo. Ngunit sa pagkakataong ito, ang allowances ay itinakda sa mga contract na kontrolado ng attacker na pagkatapos ay nag-withdraw ng mga aset. Ang pagkawala ay nangyari nang tahimik sa pamamagitan ng maraming operasyon, hindi sa isang pambobola o reentrancy attack.
Ang nagiging iba sa kaso na ito ay ang kakulangan ng anumang katulad ng bug. Gumana nang tama ang code ng bot ayon sa disenyo. Simple lang ito ay hindi makapagpakaiba sa isang tunay na DeFi na interaksyon at isang pekeng isa na nilikha upang pagsamantalan ang kanyang pagpapahintulot na pag-uugali. Para sa mga operator ng bot, mas mahirap ayusin ang problema na ito kaysa sa isang karaniwang patch sa code. Kailangan ito ng pag-redesign ng paraan kung paano sinimulahan ng automated na sistema ang mga transaksyon, sinusuri ang panganib ng kalaban, at pinoproseso ang pagpapahintulot sa token sa totoong oras.
Kung saan ang MEV Bots pagkatapos ng pagkawala
Si JaredFromSubway ay isang matatag na bahagi ng Ethereum MEV sa loob ng maraming taon, kaya ang isang pagkawala ng $7.5 milyon ay hindi isang existential na tama sa mga tagapamahala nito. Ngunit ipinapakita nito ang malaking layunin sa bawat bot na nagpapatakbo ng automated na mga estratehiya nang walang malalim na simulasyon ng mga kontrata na ito ay tumutugon. Maaaring maging biktima ng mga copycat attack ang mga kalaban nitong bot. Ang MEV market ay nasaan nang malupit: ang mga bot ay nakikipagkumpitensya sa bilis, bundle inclusion, at mga ugnayan sa builder. Kung kailangan din ng mga tagapamahala na mag-alala tungkol sa logical manipulation sa antas ng pagpapahintulot, tataas nang malaki ang gastos sa pagpapatakbo ng isang ligtas na bot.
Ang insidente ay nagpapakita rin ng pagkakawala sa supply chain ng MEV ng Ethereum. Ang mga block builder at relay ay nakakakita ng mga bundle ng transaksyon ngunit rare lang na pinapatotohanan kung ang intensyon ng isang serye ng bot ay maaaring ma-exploit sa mas mataas na antas. Kung hindi gumawa ang komunidad ng middleware na magpapakita ng mga suspicious na approval pattern bago ito makarating sa pagpapatupad, mananatiling naiiwan ang mga bot. At kasabay ng pagtutok ng Ethereum sa kanilang development roadmap sa inclusion lists at censorship resistance, ang mga kasangkapan na nagpaprotekta sa mga bot laban sa logical exploits ay hindi naging prioridad.
Ano ang Hindi Pa Malinaw
Hindi pa inilabas ng Blockaid ang buong on-chain mga diagram ng flow ng pag-atake, kaya ang eksaktong sequence ng mga transaksyon at kung paano nabawasan ang mga pagsusuri ng pagpapahintulot ng bot ay patuloy na pinag-aaralan. Hindi rin alam kung ang attacker ay tumarget sa JaredFromSubway nang espesipiko o kaya ay nagtatag ng isang jala na nakadakip sa anumang bot na nagsascan sa mempool. Kung ang paraan ay maaaring pangkalahatan, maaari itong maging isang paulit-ulit na exploit laban sa buong klase ng MEV bots sa ethereum at kahit sa layer-2 networks kung saan umiiral ang katulad na arkitektura ng bot.
Para sa mga trader at DeFi users, ang direkta na eksposur ay maliit. Ang mga ari-arian ay nanggaling sa operator ng bot, hindi sa mga huling user. Ngunit kapag nagkakaroon ng biglaang pagkawala ng likwididad ang isang malaking bot, maaari itong magtarik mula sa merkado, palawakin ang spreads at bawasan ang kalidad ng pagpapatupad sa ilang mga pares. Maaaring pansamantala ang epekto na ito, ngunit ipinapakita nito kung gaano karami ang likwididad ng Ethereum’s DeFi na nakadepende sa ilang kaunting automated na player na gumagana na may makitid na pagprotekta laban sa isang napakaliit na banta.