- ผู้โจมตีดูดเงินกว่า 7.5 ล้านดอลลาร์จาก MEV bot ชื่อดังบน Ethereum อย่าง jaredfromsubway.eth โดยใช้ประโยชน์จากตรรกะการซื้อขายอัตโนมัติของบอทเอง แทนที่จะเป็นบั๊กในสัญญาแบบดั้งเดิมหรือการหลอกลวงฟิชชิง
- ตลอดระยะเวลาหลายสัปดาห์ ผู้โจมตีล่อให้บอทอนุมัติสัญญาผู้ช่วยที่เป็นอันตรายผ่านโทเค็นปลอมและ liquidity pool ปลอมที่เลียนแบบสินทรัพย์อย่าง WETH, USDC และ USDT จากนั้นใช้การอนุมัติที่ยังเปิดอยู่เหล่านั้นดึงเงินและส่งบางส่วนผ่าน Tornado Cash
- เหตุการณ์นี้เน้นย้ำทั้งขนาดและความเสี่ยงของกิจกรรม sandwich bot ในระดับอุตสาหกรรม โดย jaredfromsubway.eth รับผิดชอบต่อการโจมตีแบบ sandwich บน Ethereum ประมาณ 70% ซึ่งทำให้นักเทรดสูญเสียเงินราว 60 ล้านดอลลาร์ต่อปี ด้วยการแสดงให้เห็นว่าระบบที่ทำงานด้วยความเร็วระดับเครื่องจักรและอิงตามรูปแบบสามารถกลายเป็นเหยื่อได้เช่นกัน
Jaredfromsubway.eth หนึ่งใน MEV bot ที่มีชื่อเสียงฉาวโฉ่ที่สุดบน Ethereum ถูกดูดเงินออกไปกว่า 7.5 ล้านดอลลาร์ หลังจากผู้โจมตีหันตรรกะการซื้อขายอัตโนมัติของบอทมาใช้โจมตีตัวมันเอง
บอทนี้เป็นที่รู้จักจากการโจมตีแบบ sandwich ซึ่งเป็นรูปแบบหนึ่งของ maximal extractable value หรือ MEV โดยผู้ซื้อขายอัตโนมัติจะตรวจจับธุรกรรมที่รอดำเนินการ ซื้อก่อนธุรกรรมนั้น ปล่อยให้เหยื่อซื้อขายในราคาที่แย่ลง แล้วจึงขายออกทันทีหลังจากนั้น
ผลลัพธ์คือภาษีซ่อนเร้นเล็กน้อยที่เรียกเก็บจากผู้ใช้ ซึ่งสะสมได้มากเมื่อรวมกันหลายพันธุรกรรม
ผู้โจมตีแบบ sandwich โดยทั่วไปไม่ถือเป็นการ exploit แต่ในวงการคริปโตมองว่าเป็นพฤติกรรมนักล่า ซึ่งขูดรีดมูลค่าจากผู้ใช้ ทำให้ค่า gas พุ่งสูงขึ้น และไม่เป็นประโยชน์ต่อทั้งเครือข่ายและผู้ใช้
บริษัทรักษาความปลอดภัย Blockaid กล่าวว่าเหตุการณ์วันเสาร์ไม่ใช่การโจมตีฟิชชิงทั่วไป และไม่ใช่บั๊กง่ายๆ ในสัญญาของเหยื่อ แต่ผู้โจมตีมุ่งเป้าไปที่ระบบการตัดสินใจของบอทแทน
การเตรียมการถูกสร้างขึ้นในระยะเวลาหลายสัปดาห์ โดยผู้โจมตีปล่อยสัญญาโทเค็นปลอมและ liquidity pool ปลอมหลายสิบรายการ ซึ่งเป็นคำที่ใช้เรียกกองโทเค็นที่ถูกล็อกไว้บน decentralized exchange ที่ดูเหมือนการซื้อขายที่ทำกำไรได้ บางส่วนเลียนแบบสินทรัพย์ที่คุ้นเคย เช่น wrapped ether (WETH) และ stablecoin ที่ผูกกับดอลลาร์อย่าง USDC และ USDT
เหยื่อล่อทำหน้าที่ได้ตามที่คาดไว้ บอทของ Jaredfromsubway.eth มองเห็นสิ่งที่ดูเหมือนโอกาส MEV และสร้างการอนุมัติให้สัญญาผู้ช่วยที่ควบคุมโดยผู้โจมตีใช้จ่ายโทเค็นแทน การอนุมัติเหล่านั้นถูกใช้ทันทีเป็นส่วนหนึ่งของการซื้อขายในการทดสอบช่วงแรก แต่ต่อมาผู้โจมตีได้สร้างเส้นทางที่การอนุมัติยังคงเปิดอยู่
สิ่งนี้ทำให้ผู้โจมตีมีสิทธิ์ถาวรในการดึงเงิน และพวกเขาใช้การอนุมัติที่เปิดอยู่เหล่านั้นโอน WETH, USDC และ USDT ออกจากสัญญาของ Jaredfromsubway.eth ดูดเงินไปกว่า 7.5 ล้านดอลลาร์
เงินที่ถูกขโมยบางส่วนถูกส่งไปยัง Tornado Cash ในภายหลัง ตามที่ข้อมูลบนเชนที่ CoinDesk ตรวจสอบแสดงให้เห็น
ความย้อนแย้งนั้นช่างยากที่จะมองข้ามไป
Jaredfromsubway.eth เป็นหนึ่งในสัญลักษณ์ที่ชัดเจนที่สุดของ MEV ที่เป็นพิษบน Ethereum มาช้านาน การโจมตีแบบ sandwich ทำให้นักเทรดบน Ethereum สูญเสียเงินประมาณ 60 ล้านดอลลาร์ต่อปี โดยมีการโจมตี 60,000 ถึง 90,000 ครั้งต่อเดือนระหว่างเดือนพฤศจิกายน 2024 ถึงเดือนตุลาคม 2025
ประมาณ 70% ของการโจมตีเหล่านั้นเชื่อมโยงกับ Jaredfromsubway.eth ซึ่งเปิดใช้งานมาตั้งแต่ต้นปี 2023
CoinDesk รายงานในเดือนพฤษภาคมว่าบอทตัวเดิมนั้นถึงกับทำ sandwich กับการแลกเปลี่ยนเล็กน้อยของ Vitalik Buterin ผู้ร่วมก่อตั้ง Ethereum โดยนำเงิน 1.14 ล้านดอลลาร์ไปซื้อนำหน้าการซื้อขายของ Buterin เพื่อทำกำไรเพียง 4 ดอลลาร์ (หลังหักค่าธรรมเนียม บอทขาดทุนเพียงไม่กี่ดอลลาร์ในการซื้อขายครั้งนี้)
การซื้อขายนั้นมีมูลค่าเพียงไม่กี่ดอลลาร์ และการขาดทุนก็น้อยมาก แต่มันแสดงให้เห็นว่าบอทกลายเป็นอุตสาหกรรมขนาดไหนแล้ว มันกำลังสแกน mempool เพื่อหาแทบทุกสิ่งที่มันสามารถแทรกตัวเข้าไปได้
แม้ว่าเหตุการณ์วันเสาร์จะไม่ทำให้การโจมตีแบบ sandwich เป็นอันตรายน้อยลง แต่มันแสดงให้เห็นถึงความเสี่ยงของการรันระบบที่อนุมัติธุรกรรมด้วยความเร็วระดับเครื่องจักรโดยอิงจากการจดจำรูปแบบและสัญญาณกำไร
Jaredfromsubway.eth ใช้เวลาหลายปีในการทำกำไรจากนักเทรดที่ไม่เห็นบอทกำลังมา แต่ในวันเสาร์ บอทก็ไม่เห็นการซื้อขายที่กำลังจะมาถึงเช่นกัน
