En Ethereum-arbitrage-handelsbot formåede at ramme jackpotten og tabe det hele på samme dag i en ironisk vending i begivenhederne i decentral finansiering (DeFi).
I en Twitter-tråd skriver Robert Miller, der arbejder hos analysefirmaet Flashbots, delt hvordan en Maximal Extractable Value (MEV) bot med præfikset 0xbadc0de kunne tjene 800 Ether (ETH), omkring 1 million dollars gennem arbitrage-handler.
Ifølge Miller udnyttede botten en enorm arbitrage-mulighed, der kom, da en erhvervsdrivende forsøgte at sælge $1.8 millioner i cUSDC gennem decentral udveksling (DEX) Uniswap v2 og fik kun aktiver til en værdi af $500 til gengæld. Botten opdagede denne chance og gik straks i gang og opnåede massive overskud.
Men kun en time senere udnyttede en hacker en sårbarhed i 0xbadc0des "dårlige kode" og narrede den til at godkende en transaktion, der drænede dens saldo på 1,101 ETH, hvilket var omkring 1.41 millioner dollars i skrivende stund.
#MEV En meget profitabel MEV-bot, internt navngivet som 0xbad, blev på en eller anden måde narret/hacket med 1,101 ETH-tab (~$1.45M) i følgende tx: https://t.co/FxXSY8AyhX
- PeckShield Inc. (@peckshield) September 27, 2022
Ifølge blockchain-sikkerhedsfirmaet PeckShield kan fejlen spores tilbage til botens callback-rutine, og dette var Exploited af hackeren for at godkende en vilkårlig adresse til forbrug.
Relateret: Pantera CEO er positivt indstillet over for DeFi, Web3 og NFT'er, da Token2049 går i gang
Den 18. september blev en sårbarhed i Profanity, en Ethereum-forfængelighedsadressegenerator, udnyttet, dræner 3.3 millioner dollars i midler fra forskellige tegnebøger. Undersøgelser udført af den decentraliserede børs (DEX) aggregator 1inch Network fremhævede, at der var en tvetydighed med hensyn til oprettelsen af tegnebøgerne. DEX advarede brugerne om, at deres tegnebøger var i fare og opfordrede dem til at overføre deres aktiver.
Mere end en uge senere blev en anden forfængelig tegnebogsadresse udnyttet og drænet for næsten 1 mio værdi af ETH. Efter at have stjålet midlerne sendte hackerne dem straks til den kontroversielle kryptomixer Tornado Cash.
Kilde: https://cointelegraph.com/news/mev-bot-earns-1m-but-loses-everything-to-a-hacker-an-hour-later