Blockaidによると、暗号資産で最も成功したMEVボットの一つであるJaredfromsubway.ethが、攻撃者がボットの自動実行ロジックを悪用したことで、最近750万ドル以上を引き出されてしまったという。攻撃者は、Wrapped ETH、USDC、USDTを模した66の偽トークン・コントラクトを展開し、あたかも利益の出る取引機会であるかのように見せるための偽の流動性プールを組み合わせた。ボットがこれらのコントラクトとやり取りする過程で、攻撃者が管理するヘルパー・コントラクトへの承認を付与してしまい、攻撃者がボットのトレジャリーにアクセスできる状態になった。
BlockaidのCTOであるRaz Nivは、この事件を、MEVボットが依存する信頼を最小限に抑えた意思決定ロジックを狙うカウンターMEVハニーポット攻撃だと説明した。続いて攻撃者は、66個のバックドアすべてを呼び出して、影響を受けたアドレスからETH、USDC、USDTを回収するための単一トランザクションを実行した。盗まれた資金の一部は、その後Tornado Cashという暗号資産ミキシングサービスに送られた。今回のエクスプロイトは、市場の非効率性を突いて極めて高い利益を狙うよう設計された自動化が、攻撃者がボットの行動パターンや承認メカニズムを理解したときに、逆に脆弱になり得ることを示している。
