イーサリアム有名MEVボットが750万ドル損失

イーサリアムで最も活発なサンドイッチアタック型MEVボットの1つである「JaredFromSubway」が、承認すべきでなかったトークン送金を騙されて許可し、約750万ドルを攻撃者に奪取された。

この事案を指摘したセキュリティ企業のBlockaidによると、同ボットはスマートコントラクトの不具合、フィッシング攻撃、秘密鍵漏洩のいずれにも該当しない。攻撃者はボット自身の利益追求ロジックを逆用した。

MEVボットはどう騙されたか

JaredFromSubway MEVボットは、イーサリアムのメンポール上で利益が得られる取引を自動で検索する戦略を運用してきた。この手法は最大抽出可能価値（MEV）として知られる。

ボットは他の取引をフロントランやバックランで挟み込み、価格差を獲得する「サンドイッチアタック」を用いる。

このボットは2023年4月に悪名を高めた。1日で100万ドル超をガス代として消費し、イーサリアム全体のガス代支出の約8%を占めた。

攻撃者は数週間かけて66件の偽造トークンコントラクトを配置した。偽トークンはWrapped Ether（WETH）、USDコイン（USDC）、テザー（USDT）を模倣した。

ボットからは、これらのコントラクトが標的とするパスに見えた。ボットは攻撃者が管理する補助コントラクトへの送金を承認した。1件の承認で92WETH超を引き渡した。

最終的なコントラクトがこれらのオープンな承認枠を利用し、ボットから実際の資金を抜き取った。

逆MEVトラップ

このトラップはボットの速度と攻撃性を弱点に変えた。MEVボットを狩る手法は新しくない。2023年には、不正バリデータがMEVサンドイッチボットから約2500万ドルを抜き取った。

こうしたサンドイッチアタックは、長年にわたり一般トレーダーへの「見えない税金」として批判されてきた。

ボットの運営者は、損失は1500万ドル程度と見積もる。同時に資金返還を条件に100万ドルの報奨金も提示した。BlockaidとPeckShieldはオンチェーンで流出した資産をWETH、USDC、USDT合計で約750万ドルと評価している。

いかなる資金回収も、今後攻撃者がこのオファーに応じるかにかかっている。