JaredFromSubway—salah satu bot MEV paling dikenali di Ethereum—terperangkap dalam eksploitasi yang tidak biasa yang menguras kira-kira $7.5 juta dalam WETH, USDC, dan USDT. Syarikat keselamatan blok rantai Blockaid menerangkan insiden tersebut dalam laporan keselamatan yang dilaporkan oleh WuBlockchain, menggambarkannya sebagai serangan baharu terhadap logik pengambilan keputusan bot tersebut, bukan sebagai kerentanan kontrak pintar tradisional. Kerugian ini mengubah cara infrastruktur perdagangan automatik di Ethereum perlu membela diri.
Penyerang menerapkan kontrak yang menipu sistem automatik JaredFromSubway untuk memberikan persetujuan token. Setelah permit itu diletakkan, penyerang mengambil alih simpanan WETH, USDC, dan USDT bot tersebut. Tiada serangan phishing dan tiada kelemahan dalam kontrak pintar yang diterapkan. Blockaid menjelaskan insiden ini memanfaatkan “mekanisme pengesanan peluang MEV automatik dan persetujuan bot,” satu kategori risiko yang telah menerima perhatian jauh lebih sedikit berbanding audit kod.
Perbezaan ini sangat penting. Logik bot itu sendiri—bahagian yang menilai transaksi yang tertunda dan memutuskan sama ada untuk frontrun, backrun, atau sandwich perdagangan—telah membuat siri keputusan yang memberikan peluang kepada penyerang. Kerana persetujuan diberikan di dalam alur kerja biasa bot, langkah-langkah keselamatan piawai yang digunakan oleh dompet dan protokol terhadap pengguna manusia tidak berlaku. JaredFromSubway telah berjalan dengan berjaya selama bertahun-tahun di Ethereum, di mana MEV telah menjadi perniagaan yang berspesialisasi dan sangat kompetitif. Rangkaian ini tetap menjadi rantai utama untuk DeFi, seperti yang disahkan oleh data terkini mengenai aktiviti pembangun di seluruh blok rantai teratas, yang bermaksud bot seperti ini mengendalikan volume nilai yang sangat besar setiap hari.
Sebuah Eksploit Logik, Bukan Eksploit Kod
Mekanik trik ini adalah mudah. Penyerang menghasilkan urutan transaksi yang kelihatan seperti peluang MEV yang menguntungkan kepada sensor bot. Apabila bot itu masuk, ia diprogram untuk menetapkan kebenaran untuk token yang perlu diinteraksikan—pola biasa yang mengurangkan kos gas semasa pelaksanaan berulang. Tetapi kali ini, kebenaran itu ditetapkan untuk kontrak yang dikendalikan penyerang yang kemudian menarik aset tersebut. Pencurian itu berlaku secara senyap melalui beberapa operasi, bukan dalam satu serangan pinjaman kilat atau reentrancy.
Apa yang menjadikan kes ini berbeza ialah ketiadaan sebarang yang menyerupai ralat. Kod bot berfungsi tepat seperti yang direka. Ia hanya tidak mampu membezakan antara interaksi DeFi yang sah dan yang palsu yang direka untuk mengeksploitasi tingkah laku persetujuannya. Bagi pengendali bot, itu adalah masalah yang jauh lebih sukar untuk diperbaiki berbanding pemaafan kod biasa. Ia memerlukan semula reka bentuk cara sistem automatik mensimulasikan transaksi, menilai risiko pihak lawan, dan menguruskan persetujuan token secara masa nyata.
Di mana Bot MEV Berada Selepas Kerugian
JaredFromSubway telah menjadi tokoh tetap dalam MEV Ethereum selama bertahun-tahun, jadi kerugian sebesar $7.5 juta bukanlah ancaman eksistensial kepada pengoperasinya. Tetapi ia mengekspos sasaran besar terhadap setiap bot yang menjalankan strategi automatik tanpa simulasi mendalam terhadap kontrak yang ia interaksi. Bot pesaing kini mungkin menghadapi serangan tiruan. Pasar MEV sudah kejam: bot bersaing berdasarkan kelajuan, keutamaan bundel, dan hubungan pembina. Jika pengendali juga perlu bimbang tentang manipulasi logik pada lapisan persetujuan, kos menjalankan bot yang selamat meningkat tajam.
Insiden ini juga menonjolkan jurang dalam rantai bekalan MEV Ethereum. Pembina blok dan relay melihat sekumpulan transaksi tetapi jarang mengesahkan sama ada niat urutan bot boleh dimanfaatkan di hulu. Kecuali komuniti membangunkan middleware yang menandakan corak persetujuan mencurigakan sebelum ia mencapai pelaksanaan, bot tetap sebahagian besar sendirian. Dan dengan peta jalan pembangunan Ethereum yang berfokus ketat pada senarai penyertaan dan ketahanan penyensoran, alat-alat yang melindungi bot daripada eksploitasi logik tidak menjadi keutamaan.
Apa yang Masih Tidak Jelas
Blockaid belum mengeluarkan gambaran penuh berdasarkan rantai serangan, jadi urutan transaksi yang tepat dan bagaimana semak persetujuan bot dilanggar masih sedang dikaji. Juga tidak diketahui sama ada penyerang menargetkan JaredFromSubway secara khusus atau hanya memasang jebakan yang menangkap sebarang bot yang memindai mempool. Jika kaedah ini boleh digeneralisasi, ia boleh menjadi eksploit berulang terhadap seluruh kelas bot MEV di ethereum dan bahkan pada rangkaian lapisan-2 di mana arsitektur bot serupa wujud.
Untuk pedagang dan pengguna DeFi, eksposur langsung adalah minimum. Aset-aset tersebut milik pengendali bot, bukan pengguna akhir. Tetapi apabila sebuah bot besar kehilangan likuiditi secara tiba-tiba, ia boleh menarik diri dari pasaran, melebarkan spread dan mengurangkan kualiti pelaksanaan pada pasangan tertentu. Kesannya mungkin sementara, tetapi ia menunjukkan betapa banyak likuiditi DeFi Ethereum bergantung kepada beberapa pemain automatik sahaja yang beroperasi dengan pertahanan nipis terhadap ancaman yang sangat spesifik.