Một trong những bot MEV tai tiếng nhất của Ethereum, có biệt danh JaredFromSubway, được báo cáo là đã bị rút cạn khoảng 7,5 triệu đô la sau khi các hợp đồng do kẻ tấn công kiểm soát lừa hệ thống tự động của nó cấp phê duyệt token (token approvals).
Tóm tắt
- Bot MEV JaredFromSubway được báo cáo là đã bị rút cạn khoảng 7,5 triệu đô la.
- Công ty bảo mật Blockaid cho biết bot đã bị lừa phê duyệt các đường giao dịch độc hại.
- Kẻ tấn công sau đó đã sử dụng những sự phê duyệt đó để rút tài sản từ hợp đồng của bot.
- Sự cố dường như nhắm vào chính cơ chế tự động hóa của bot, chứ không phải bản thân Ethereum.
CoinDesk đưa tin rằng Blockaid đã xác định được lỗ hổng khai thác, nói rằng các hợp đồng do kẻ tấn công kiểm soát đã lừa bot phê duyệt các đường giao dịch giả mạo. Những sự phê duyệt đó sau đó đã được sử dụng để rút cạn WETH, USDC và USDT từ hợp đồng của bot. Sự cố này đã thu hút sự chú ý vì JaredFromSubway từ lâu đã gắn liền với chiến lược giao dịch sandwich (sandwich trading) mạnh tay trên Ethereum.
Sự trớ trêu thật khó bỏ qua. Các bot MEV được xây dựng để khai thác những lợi thế nhỏ về thời gian và định tuyến trên thị trường trên chuỗi. Trong trường hợp này, chính cơ chế tự động hóa của bot dường như đã trở thành điểm yếu. Thay vì trích xuất giá trị từ người dùng khác, nó đã bị thao túng để phê duyệt các hợp đồng sau đó rút cạn số dư của mình.
Chuyện Gì Đã Xảy Ra
Lỗ hổng khai thác được báo cáo không phải là một cuộc tấn công vào giao thức cơ bản của Ethereum. Nó cũng không phải là một lỗi hệ thống rộng của một ứng dụng DeFi lớn được sử dụng bởi những người gửi tiền thông thường. Mục tiêu là một bot MEV cụ thể và logic mà nó sử dụng để tương tác với các hợp đồng trong quá trình giao dịch tự động.
Sự phân biệt đó rất quan trọng. Cơ sở hạ tầng MEV hoạt động rất nhanh và thường dựa vào việc ra quyết định được tự động hóa cao. Nếu cơ chế tự động đó có thể bị lừa phê duyệt nhầm hợp đồng, rủi ro có thể rất nghiêm trọng vì các giao dịch được thực hiện với rất ít sự kiểm tra của con người.
Theo các báo cáo, kẻ tấn công đã chuẩn bị cái bẫy bằng cách sử dụng các đường dẫn hoặc hợp đồng giả mạo mà bot diễn giải là cơ hội sinh lời. Một khi sự phê duyệt được cấp, kẻ tấn công đã sử dụng chúng để chuyển tài sản ra ngoài. Xét theo góc độ DeFi, đây là một lời nhắc nhở rằng việc phê duyệt (approvals) là những quyền hạn mạnh mẽ, chứ không phải là chữ ký vô hại.
Tại Sao Các Nhà Giao Dịch Quan Tâm
Câu chuyện lớn hơn việc chỉ một con bot bị rút cạn. Nó làm nổi bật một rủi ro áp dụng trên khắp các hệ thống giao dịch tự động: tốc độ có thể trở thành điểm yếu. Các bot cạnh tranh trên thị trường MEV cần hành động nhanh hơn các nhà giao dịch con người, nhưng điều đó cũng đồng nghĩa với việc chúng có thể dễ bị tổn thương bởi những cái bẫy được thiết kế cẩn thận.
Đối với người dùng Ethereum, sự cố này có thể mang cảm giác của sự công bằng thi vị vì các bot sandwich bị nhiều người không ưa. Nhưng bài học kỹ thuật thì rộng hơn. Bất kỳ hệ thống nào cấp phê duyệt token dựa trên các tương tác hợp đồng tự động đều cần có các biện pháp bảo vệ nghiêm ngặt, mô phỏng và xác minh đường dẫn.
Tác động thị trường khó có thể chỉ đến từ số tiền bị mất. 7,5 triệu đô la bị rút cạn là đáng kể, nhưng không phải là vấn đề hệ thống. Tác động lớn hơn là về danh tiếng đối với cơ sở hạ tầng MEV và có thể là hoạt động đối với các nhà vận hành bot giờ đây cần xem xét lại logic phê duyệt của họ một cách tích cực hơn.
Hiện tại, sự việc này nên được coi là một cuộc khai thác có mục tiêu nhắm vào một bot giao dịch, chứ không phải là một sự kiện bảo mật trên toàn mạng lưới.
Báo cáo này dựa trên thông tin từ Blockaid.
Bài viết này được viết bởi News Desk và biên tập bởi Samuel Rae.
