以太坊知名交易机器人 jaredfromsubway 的运营者在周六遭遇一次针对该机器人交易授权系统的漏洞攻击后,损失了 $7.5 million。安全公司 Blockaid 表示,攻击者使用假代币和欺诈性智能合约,从该机器人中抽走了原本合法的资金。此次漏洞攻击发生在一款因实施“夹子攻击”(一种在去中心化交易所进行的市场操纵形式)而臭名昭著的机器人上——它通过在待处理交易周围发起交易来获利,从而损害他人利益。
攻击者用假代币利用了授权逻辑
Blockaid 解释称,攻击者向 jaredfromsubway 展示了具有误导性的交易机会,随后让幕后黑手得以抽走资金。该机器人被设计为持续扫描有利可图的交易,并偶尔会授予某些实体权限,使其能够代表机器人移动资金来执行这些交易。根据 Blockaid 的说法,jaredfromsubway 所参与的一些交易在完成后会立即撤销这些权限,而攻击者精心构造的交易则不会。“这让攻击者控制的花费方准备就绪,”Blockaid 在一条 X 帖子中表示。该方案涉及假代币和欺诈性智能合约,它们利用了这种授权机制。
运营者提供 50% 奖金并威胁采取法律行动
在周六攻击之后的一条链上消息中,机器人的运营者为在 48 小时内归还 2,150 Ethereum(约为 $3.7 million)提供“50% 的白帽赏金”。运营者威胁称,如果资金未在该时间范围内归还,将寻求法律救济并与执法部门联手。
被盗资金存入 Tornado Cash
安全公司 PeckShield 在一条 X 帖子中指出,攻击者在漏洞利用之后开始掩盖行踪。攻击者偷走包装的以太币以及稳定币后,部分资金被兑换并部分存入 Tornado Cash——这是攻击者试图掩饰非法收益资金流向时常用的资源。
FAQ
周六 jaredfromsubway 机器人发生了什么?
根据安全公司 Blockaid 的说法,周六,攻击者使用假代币和欺诈性智能合约利用了 jaredfromsubway 机器人的交易授权逻辑,导致该机器人损失了 $7.5 million。
漏洞利用之后 jaredfromsubway 运营者提供了什么?
运营者承诺为在 48 小时内归还 2,150 Ethereum(约为 $3.7 million)提供 50% 的白帽赏金,并威胁称如果资金未归还,将追究法律行动并牵涉执法部门。
