Ethereum MEV-Bot JaredFromSubway verliert 7,5 Mio. USD durch einen Exploit

Der Betreiber von jaredfromsubway, einem bekannten Ethereum-Trading-Bot, verlor am Samstag 7,5 Millionen US-Dollar, nachdem ein Exploit das Transaktionsfreigabesystem des Bots angegriffen hatte. Das Sicherheitsunternehmen Blockaid berichtete, dass ein Angreifer gefälschte Token und betrügerische Smart Contracts eingesetzt habe, um legitime Gelder aus dem Bot abzufließen. Der Exploit richtete sich gegen einen Bot, der sich einen Ruf dafür erarbeitet hat, Sandwich-Angriffe durchzuführen – eine Form der Marktmanipulation auf dezentralen Börsen, bei der Trades rund um ausstehende Transaktionen platziert werden, um auf Kosten anderer zu profitieren.

Angreifer nutzten die Freigabelogik mit Fake-Tokens aus

Blockaid erklärte, dass der Angreifer dem jaredfromsubway-Bot irreführende Handelsmöglichkeiten präsentierte, die später es dem Schurken ermöglichten, Gelder abzulassen. Der Bot ist so konzipiert, dass er fortlaufend nach profitablen Trades sucht und gelegentlich Entitäten die Erlaubnis erteilt, in seinem Namen Gelder zu bewegen, um diese Trades auszuführen. Laut Blockaid widerriefen einige Transaktionen, in die jaredfromsubway einbezogen war, diese Berechtigungen unmittelbar nach Abschluss, während angreiferkonstruierte Transaktionen dies nicht taten. „Das ließ von Angreifern kontrollierte spender bereit“, sagte Blockaid in einem X-Post. Das Schema umfasste gefälschte Token und betrügerische Smart Contracts, die diesen Freigabe-Mechanismus ausnutzten.

Betreiber bietet 50% Kopfgeld und droht mit rechtlichen Schritten

In einer On-Chain-Nachricht nach dem Angriff am Samstag bot der Betreiber des Bots eine „50% white hat bounty“ für die Rückgabe von 2.150 Ethereum, die derzeit ungefähr 3,7 Millionen US-Dollar wert sind, innerhalb von 48 Stunden. Der Betreiber drohte, rechtliche Schritte einzuleiten und Strafverfolgungsbehörden einzubeziehen, falls die Gelder nicht innerhalb dieses Zeitrahmens zurückgegeben würden.

Gestohlene Gelder auf Tornado Cash eingezahlt

Das Sicherheitsunternehmen PeckShield stellte in einem X-Post fest, dass der Angreifer nach dem Exploit begann, seine Spuren zu verwischen. Nachdem gestohlene Wrapped Ethereum und Stablecoins übernommen worden waren, wurde ein Teil der Gelder getauscht und teilweise in Tornado Cash eingezahlt – eine gängige Ressource für Angreifer, die versuchen, den Fluss von unrechtmäßig erlangten Gewinnen zu verschleiern.

FAQ

Was ist am Samstag mit dem jaredfromsubway-Bot passiert? Der jaredfromsubway-Bot verlor am Samstag 7,5 Millionen US-Dollar, nachdem ein Angreifer seine Transaktionsfreigabelogik mithilfe gefälschter Token und betrügerischer Smart Contracts ausgenutzt hatte, so das Sicherheitsunternehmen Blockaid.

Was hat der jaredfromsubway-Betreiber nach dem Exploit angeboten? Der Betreiber bot ein 50% white hat bounty für die Rückgabe von 2.150 Ethereum (ungefähr 3,7 Millionen US-Dollar) innerhalb von 48 Stunden an und drohte, rechtliche Schritte einzuleiten und Strafverfolgungsbehörden einzubeziehen, falls die Gelder nicht zurückgegeben würden.