Thiệt hại hơn 7,5 triệu USD: Phân tích cuộc tấn công bằng 'bẫy mật ong' nhắm vào MEV Bot và theo dõi dòng tiền bị đánh cắp
Ngày 21 tháng 6, MEV Bot Jaredfromsubway.eth hoạt động tích cực nhất trên Ethereum đã trở thành mục tiêu của một cuộc tấn công "honeypot" (bẫy mật) được thiết kế tinh vi, tổn thất hơn 7,5 triệu USD tài sản mã hóa.
Kẻ tấn công đã triển khai một hệ thống hợp đồng phức tạp (hợp đồng điều phối, kích hoạt, hợp đồng con, token giả...) để tạo ra các cơ hội arbitrage ảo. Mấu chốt nằm ở việc lừa MEV Bot cấp quyền ủy quyền (approval) lớn cho các hợp đồng độc hại. Chúng thực hiện nhiều giao dịch mồi: giao dịch nhỏ diễn ra bình thường để tiêu hao quyền ủy quyền và giảm sự nghi ngờ, trong khi các giao dịch lớn lại giữ nguyên quyền ủy quyền mà không sử dụng. MEV Bot thấy lợi nhuận thực từ các giao dịch nhỏ và tin rằng đường đi arbitrage là hợp lệ, từ đó tiếp tục cấp các quyền ủy quyền lớn cho USDC, USDT, WETH.
Sau khi thu thập đủ quyền ủy quyền, kẻ tấn công đã kích hoạt hợp đồng điều phối để rút toàn bộ số tài sản đã được ủy quyền từ ví của MEV Bot. Tổng cộng, 2,87 triệu USDC, 2,04 triệu USDT và 1.474 WETH đã bị đánh cắp, sau đó phần lớn được chuyển đổi thành ETH và phân tán.
Cuộc tấn công này cho thấy một phương thức tinh vi nhắm vào logic hoạt động của MEV Bot. Nó cảnh báo rằng các bot không nên chỉ dựa vào mô phỏng lợi nhuận để đánh giá rủi ro, cần thận trọng với các hợp đồng lạ, token giả trong đường arbitrage và nên kiểm tra kỹ sự thay đổi quyền ủy quyền (allowance) sau giao dịch.
marsbit34 phút trước