El bot MEV más avanzado, robado por 7.5 millones de dólares: ¿Es la 'Aprobación' el riesgo fatal más desatendido en la cadena?
**Resumen: El ataque a un bot de MEV subraya el riesgo crítico y subestimado de las autorizaciones (Approvals) en blockchain**
Un sofisticado bot de MEvalor (MEV) en Ethereum, conocido por ejecutar ataques de "sándwich", fue víctima de un ataque inverso que resultó en la pérdida de aproximadamente 7.5 millones de dólares. El atacante no explotó una vulnerabilidad tradicional, sino que diseñó una trampa a medida: durante semanas, desplegó tokens y pools de liquidez falsos que simulaban oportunidades de arbitraje. Esto engañó al sistema automatizado del bot para que otorgara autorizaciones (approvals) de ERC-20 a contratos maliciosos, permitiendo finalmente el drenaje "legal" de sus fondos.
Este incidente revela el peligro fundamental de la función de autorización, un mecanismo esencial para que los contratos inteligentes interactúen con los tokens de los usuarios en DeFi. Similar a un permiso de débito automático, una vez concedida, una autorización puede permitir que un contrato retire fondos repetidamente sin más confirmaciones. Los riesgos clave incluyen:
1. **Autorizaciones ilimitadas:** Los usuarios a menudo aprueban cantidades máximas por conveniencia, exponiendo todos sus fondos presentes y futuros.
2. **Persistencia del permiso:** Las autorizaciones permanecen activas en blockchain incluso después de desconectar una cartera o dejar de usar una dApp.
3. **Evolución del riesgo:** Un contrato inicialmente legítimo puede volverse malicioso tras una actualización, un hackeo o una filtración de claves.
Para gestionar este riesgo, los usuarios deben adoptar el **principio del menor privilegio** (aprobar solo el monto necesario para una transacción específica), usar **carteras separadas** para almacenamiento e interacciones de alto riesgo, y **revisar y revocar periódicamente** autorizaciones innecesarias usando herramientas como Revoke.cash o funciones integradas en carteras como imToken.
Las carteras también tienen un papel crucial en la protección proactiva, implementando advertencias para interacciones riesgosas, analizando y presentando de forma legible el contenido de las firmas (firmado legible o "clear signing") para garantizar que los usuarios comprendan qué están autorizando. La seguridad en Web3 no depende solo de proteger la clave privada, sino también de gestionar activamente a quién se le concede permiso para acceder a los activos, un esfuerzo que requiere tanto conciencia del usuario como mejores herramientas.
marsbit06/24 05:31