Salah satu bot MEV Ethereum yang paling terkenal, dikenal sebagai JaredFromSubway, dilaporkan telah dikosongkan sekitar $7,5 juta setelah kontrak yang dikendalikan penyerang menipu sistem otomatisnya untuk memberikan persetujuan token.
TL;DR
- Bot MEV JaredFromSubway dilaporkan dikosongkan sekitar $7,5 juta.
- Firma keamanan Blockaid mengatakan bot itu ditipu untuk menyetujui rute perdagangan berbahaya.
- Penyerang kemudian menggunakan persetujuan tersebut untuk menarik aset dari kontrak bot.
- Insiden ini tampaknya menargetkan otomatisasi bot itu sendiri, bukan Ethereum itu sendiri.
CoinDesk melaporkan bahwa Blockaid mengidentifikasi eksploitasi tersebut, mengatakan kontrak yang dikendalikan penyerang menipu bot untuk menyetujui rute perdagangan palsu. Persetujuan tersebut kemudian digunakan untuk mengosongkan WETH, USDC, dan USDT dari kontrak bot. Insiden ini menarik perhatian karena JaredFromSubway sudah lama dikaitkan dengan perdagangan sandwich yang agresif di Ethereum.
Ironinya sulit untuk dilewatkan. Bot MEV dibangun untuk mengeksploitasi keuntungan kecil dalam waktu dan rute di pasar on-chain. Dalam kasus ini, otomatisasi bot itu sendiri tampaknya menjadi kelemahannya. Alih-alih mengekstrak nilai dari pengguna lain, bot itu dimanipulasi untuk menyetujui kontrak yang kemudian mengosongkan saldonya.
Apa yang Terjadi
Eksploitasi yang dilaporkan bukanlah peretasan terhadap protokol dasar Ethereum. Itu juga bukan kegagalan luas dari aplikasi DeFi utama yang digunakan oleh deposan biasa. Targetnya adalah bot MEV tertentu dan logika yang digunakannya untuk berinteraksi dengan kontrak selama perdagangan otomatis.
Perbedaan itu penting. Infrastruktur MEV bergerak cepat dan sering mengandalkan pengambilan keputusan yang sangat otomatis. Jika otomatisasi itu dapat ditipu untuk menyetujui kontrak yang salah, risikonya bisa parah karena transaksi dieksekusi dengan sedikit tinjauan manusia.
Menurut laporan, penyerang menyiapkan jebakan dengan menggunakan rute atau kontrak palsu yang oleh bot diartikan sebagai peluang yang menguntungkan. Setelah persetujuan diberikan, penyerang menggunakannya untuk mentransfer aset keluar. Dalam istilah DeFi, ini adalah pengingat bahwa persetujuan adalah izin yang kuat, bukan tanda tangan yang tidak berbahaya.
Mengapa Pedagang Peduli
Kisah ini lebih besar dari satu bot yang dikosongkan. Ini menyoroti risiko yang berlaku di seluruh sistem perdagangan otomatis: kecepatan bisa menjadi kerapuhan. Bot yang bersaing di pasar MEV perlu bertindak lebih cepat daripada pedagang manusia, tetapi itu juga berarti mereka bisa rentan terhadap jebakan yang dirancang dengan hati-hati.
Bagi pengguna Ethereum, insiden ini mungkin terasa seperti keadilan puitis karena bot sandwich sangat tidak disukai. Tetapi pelajaran teknisnya lebih luas. Sistem apa pun yang memberikan persetujuan token berdasarkan interaksi kontrak otomatis memerlukan pengamanan ketat, simulasi, dan verifikasi rute.
Dampak pasar tidak mungkin datang dari jumlah dolar saja. Pengosongan $7,5 juta memang berarti, tetapi tidak sistematis. Dampak yang lebih besar adalah reputasional bagi infrastruktur MEV dan mungkin operasional bagi operator bot yang sekarang perlu meninjau logika persetujuan mereka dengan lebih agresif.
Untuk saat ini, ini harus diperlakukan sebagai eksploitasi yang ditargetkan terhadap bot perdagangan, bukan peristiwa keamanan jaringan secara luas.
Laporan ini didasarkan pada informasi dari Blockaid.
Artikel ini ditulis oleh News Desk dan disunting oleh Samuel Rae.
