Ethereum'daki en aktif sandwich-attack sistemlerinden biri olan JaredFromSubway MEV bot'undan yaklaşık 7,5 milyon dolar çekildi. Saldırgan, bot'u, onaylaması gereken bir token harcamasına ikna ederek tuzağa düşürdü. Güvenlik şirketi Blockaid, bot'un bir akıllı kontrat hatasından, oltalama saldırısından veya özel anahtar sızıntısından etkilenmediğini belirtti. Saldırgan, bot'un kendi kar peşindeki algoritmasını ona karşı kullandı.

JaredFromSubway MEV bot'u, Ethereum mempool'unda karlı işlemleri otomatik olarak tarayan bir stratejiyle çalışıyor. Bu uygulama, maximal extractable value olarak biliniyor. Bot, diğer işlemleri önden ve arkadan seri şekilde girerek fiyat farkından kazanç sağlıyor. Bu yöntem, sandwich attack olarak adlandırılıyor. Nisan 2023'te kötü bir şöhret kazandı. Sadece bir günde 1 milyon doların üzerinde gas yakarak, toplam Ethereum gas harcamasının neredeyse %8'ini oluşturdu.

Saldırgan, haftalar boyunca 66 adet sahte token kontratı dağıttı. Bu sahte token’lar Wrapped Ether (WETH), USD Coin (USDC) ve Tether (USDT) şeklinde taklit edildi. Bot için bu kontratlar, kovalamak üzere tasarlandığı rotalara benziyordu. Tuzak burada başladı: Bot oltaya geldi ve saldırganın kontrolündeki yardımcı kontratlara token harcama izni verdi. Sadece bir onayda 92’den fazla WETH’in kontrolü saldırgana geçti. Son aşamada başka bir kontrat, bot’un açık izinlerini kullanarak gerçek fonları çekti.

Kurulan tuzak, bot’un hızını ve saldırganlığını zafiyete dönüştürdü. MEV bot’larına karşı av girişimleri yeni sayılmaz. 2023'te bir ‘rogue’ doğrulayıcı, MEV sandwich bot’larından yaklaşık 25 milyon doları çekmişti. Blockaid, saldırganın kontrolündeki kontratların otomatik MEV işlem sistemini token onaylarını vermeye kandırdığını ve daha sonra bu fonların çekildiğini belirtti. Bu durum, sıradan trader’lar üzerinde sinsi bir yük oluşturuyor.

Bot’un operatörü zararı 15 milyon dolara yakın belirtti. Ayrıca, fonların iadesi için 1 milyon dolarlık ödül teklif etti. Blockaid ve PeckShield ise zincir üstü kaybı WETH, USDC ve USDT cinsinden yaklaşık 7,5 milyon dolar olarak hesapladı. Artık operatör için zararın telafisi, saldırganın bu teklifi kabul edip etmeyeceğine bağlı görünüyor.