JaredFromSubway—Ethereum’ın en tanınmış MEV botlarından biri—yaklaşık 7,5 milyon dolarlık WETH, USDC ve USDT’yi boşaltan sıra dışı bir istismara yakalandı. Blok zinciri güvenlik firması Blockaid, olayı WuBlockchain tarafından kapsanan bir güvenlik raporunda, geleneksel bir akıllı sözleşme zafiyeti değil, botun karar verme mantığına yönelik yenilikçi bir saldırı olarak tanımladı. Bu kayıp, Ethereum üzerindeki otomatik ticaret altyapısının nasıl kendini koruyacağına dair bakış açılarını değiştirdi.
Saldırgan, JaredFromSubway’ın otomatik sistemlerini token onayları vermesi için kandıran sözleşmeler yaydı. Bu izinler yerine oturduktan sonra saldırgan, botun WETH, USDC ve USDT varlıklarını çaldı. Fisil saldırı yoktu ve yayılan akıllı sözleşmelerde herhangi bir hata yoktu. Blockaid, olayın “botun otomatik MEV fırsat tespit ve onay mekanizmasını” istismar ettiğini açıkladı; bu, kod denetimlerinden çok daha az dikkat çekmiş bir risk kategorisidir.
Bu ayrım çok önemli. Botun kendi mantığı—bekleyen işlemlerini değerlendirip bir işlemi öne çıkarmayı, arkadan işlemi gerçekleştirmeyi veya sandwichlemeyi kararlaştıran kısım—saldırganın bir girişi sağlayacak bir dizi karar verdi. Onaylar, botun normal iş akışı içinde verildiği için, cüzdanların ve protokollerin insan kullanıcılar karşısında kullandığı standart güvenlik önlemleri uygulanamadı. JaredFromSubway, MEV'nin özel ve oldukça rekabetçi bir iş haline geldiği ethereum üzerinde yıllardır başarıyla çalışıyordu. Son verilere göre en üst blok zincirlerindeki geliştirici aktivitesi DeFi için ağın hâlâ baskın zincir olduğunu doğrulamaktadır, bu da bu tür botların her gün devasa miktarlarda değer işleme yaptığı anlamına gelir.
Bir Mantık İstismarı, Kod İstismarı Değil
Hilenin mekanikleri basittir. Saldırgan, botun sensörlerine karlı MEV fırsatları gibi görünen işlem dizileri oluşturdu. Bot girdiğinde, tekrarlı çalışmalarda gaz maliyetlerini azaltmak için etkileşime girmesi gereken tokenler için izinler ayarlamak üzere programlandı—bu normal bir kalıptır. Ancak bu sefer, izinler, ardından varlıkları çekmek için saldırganın kontrolündeki sözleşmelere verildi. Hırsızlık, tek bir flash kredisi veya yeniden girme saldırısı yerine, birden fazla işlem boyunca sessizce gerçekleşti.
Bu durumu farklı kılan, bir hata benzeri hiçbir şeyin olmamasıdır. Botun kodu tam olarak tasarlandığı gibi çalıştı. Basitçe, gerçek bir DeFi etkileşimi ile onun onay davranışından yararlanmak amacıyla tasarlanmış sahte bir etkileşim arasında ayrım yapamadı. Bot operatörleri için bu, tipik bir kod düzeltmesinden çok daha zor bir sorundur. Otomatik sistemlerin işlemlerini simüle etme, karşı taraf riskini değerlendirme ve token onaylarını gerçek zamanlı olarak yönetme yöntemlerinin yeniden tasarlanmasını gerektirir.
MEV Botlarının Kayıp Sonrası Durumu
JaredFromSubway, yıllardır Ethereum MEV'in bir parçası oldu, bu yüzden 7,5 milyon dolarlık bir kayıp, operatörleri için varoluşsal bir darbe değildir. Ancak, etkileşime girdiği sözleşmelerin derinlemesine simülasyonu olmadan otomatik stratejiler çalıştıran her bot üzerinde büyük bir hedef ortaya çıkarır. Rakip botlar şimdi kopya saldırılarla karşı karşıya kalabilir. MEV pazarı zaten serttir: botlar hız, paket dahil etme ve yapımcı ilişkileri üzerinde rekabet eder. Operatörler aynı zamanda onay katmanında mantıksal manipülasyondan endişe duymaya başlarsa, güvenli bir bot çalıştırmak için maliyet keskin şekilde artar.
Olay, Ethereum’in MEV tedarik zincirindeki bir boşluğu da vurgulamaktadır. Blok inşa ediciler ve relayerler işlem gruplarını görür ancak botun dizisinin amacının önceden oynanıp oynanmadığını nadiren doğrular. Topluluk, bu işlemler yürütülmeden önce şüpheli onay desenlerini işaretleyen bir ara yazılım geliştirmese, botlar büyük ölçüde kendi başlarına kalır. Ethereum’in geliştirme yol haritası, dahil listeleri ve sansür direncine yoğunlaşırken, botları mantıksal istismarlardan koruyan araçlar öncelikli hale gelmemiştir.
Ne Belirsiz Kaldı
Blockaid, saldırı akışının tam on-chain diyagramlarını yayınlamadı, bu nedenle işlemlerin tam sıralaması ve botun onay kontrollerinin nasıl atlandığı hâlâ incelenmektedir. Saldırganın JaredFromSubway’i özel olarak hedef alıp almadığı ya da sadece mempool’u tarayan herhangi bir botu yakalayan bir tuzağı kurup kurmadığı da bilinmiyor. Bu yöntem genelleştirilebilirse, Ethereum üzerinde ve benzer bot mimarilerine sahip katman-2 ağlarında bile MEV botlarının tam bir sınıfına karşı tekrarlanabilir bir istismara dönüşebilir.
Traderlar ve DeFi kullanıcıları için doğrudan maruziyet minimumdur. Varlıklar, bot operatörünün değil, son kullanıcıların idi. Ancak büyük bir bot ani olarak likiditesini kaybederse, piyasadan çekilebilir, bazı çiftlerde spreadleri genişletir ve işlem kalitesini düşürebilir. Bu etki geçici olabilir, ancak Ethereum’un DeFi likiditesinin, çok belirli bir tehdit karşısında ince savunmalarla çalışan az sayıda otomatik oyuncuya ne kadar bağımlı olduğunu gösterir.