Ethereumin pelätyin MEV-botti narutettiin – hyökkääjä käänsi koneen aseen sitä itseään vastaan
- jaredfromsubway.eth tyhjennettiin lauantaina 20. kesäkuuta noin 7,5 miljoonan dollarin edestä Blockaidin arvion mukaan.
- Hyökkääjä viritti viikkojen ajan 66 valesopimusta ja valelikviditeettialtaita, jotka botti haukkasi syötiksi.
- Botti antoi itse hyökkääjälle ERC-20-kulutusoikeudet, joilla varat siirrettiin pois yhdellä transaktiolla.
- Botin operaattori väitti tappioksi 15 miljoonaa dollaria ja lupasi miljoonan dollarin löytöpalkkion.
Ethereumin tunnetuin saalistajabotti ei kaatunut hakkerointiin eikä avainvuotoon. Sen oma automaatio huijattiin valtuuttamaan oma ryöstönsä.
Ethereumin pelätyin saalistaja kaatui omaan ahneuteensa. Verkon tunnetuin botti, osoite jaredfromsubway.eth, tyhjennettiin lauantaina 20. kesäkuuta. Tietoturvayhtiö Blockaidin lohkoketjuanalyysin mukaan botti menetti noin 7,5 miljoonaa dollaria.
Botti on toiminut alkuvuodesta 2023 lähtien. Se on niin sanottu sandwich-botti, joka kiilaa omat kauppansa toisten kauppojen ympärille ja nappaa hintaeron väliltä.
Sitä on pidetty vastuussa noin 70 prosentista Ethereumin sandwich-hyökkäyksistä marraskuun 2024 ja lokakuun 2025 välillä. Kaupankävijöille lasku on ollut noin 60 miljoonaa dollaria vuodessa.
Toukokuussa 2026 botti meni jopa Ethereumin perustajan kukkaron kimppuun ja kiilasi Vitalik Buterinin, Ethereumin perustajan, noin neljän dollarin vaihtokaupan. Pieni summa, mutta symboliarvoltaan suuri. Saalistaja ei säästänyt edes verkon näkyvintä hahmoa.
MEV (Maximal Extractable Value)
MEV tarkoittaa voittoa, jonka kaupankävijä voi puristaa irti järjestelemällä lohkoketjun transaktiot edukseen. Botti näkee tulevat kaupat ja työntää omat ostonsa ja myyntinsä niiden ympärille ennen kuin lohko vahvistetaan.
Miten saalistaja sitten saatiin kiinni omaan ansaansa? Vastaus on ironinen. Botti valtuutti itse oman ryöstönsä.
Tapahtumaketjun nostivat ensin esiin ketjuanalyytikot, jotka seuraavat botin liikkeitä reaaliajassa. Tilannetta seurannut, nimimerkkiä Specter käyttävä analyytikko kertoo, että tyhjennys eteni yhtenä koordinoituna sarjana eikä yksittäisenä mokana. Blockaid laski myöhemmin tappion suuruuden lohkoketjun datasta.
Raz Niv, Blockaidin teknologiajohtaja, kuvaa tapausta vasta-MEV-hunajapurkiksi. Hyökkääjä rakensi viikkojen ajan ansaa, joka näytti botin silmissä houkuttelevalta tilaisuudelta.
– Botti ei joutunut tietojenkalastelun uhriksi eikä sen avain vuotanut. Se haukkasi syötin ja antoi itse luvan tyhjennykseensä, Niv toteaa.
Ansaan kuului 66 valesopimusta, jotka jäljittelivät WETH-, USDC- ja USDT-tokeneita. Lisäksi hyökkääjä viritti valelikviditeettialtaita, jotka näyttivät botin silmissä tuottavilta MEV-kohteilta. Botin automaatio reagoi juuri kuten oli tarkoitus ja myönsi ERC-20-kulutusoikeuksia hyökkääjän hallitsemiin älysopimuksiin.
Mekaniikka oli tahallisen kärsivällinen. Osa varhaisista reiteistä käytti myönnetyt oikeudet heti, jolloin botti ei huomannut mitään poikkeavaa. Myöhemmät reitit jättivät oikeudet auki ja odottamaan.
Kun seisovia kulutusoikeuksia oli kertynyt tarpeeksi, hyökkääjä laukaisi kaikki 66 takaovea yhdellä transaktiolla ja siirsi varat transferFrom-komennolla pois. Yksi ainoa lohko riitti tyhjentämään lompakon, jota botti oli vuosia kasvattanut.
Osa saaliista kierrätettiin Tornado Cashin kautta jäljen katkaisemiseksi. Kyse ei siis ollut älysopimuksen virheestä eikä murrosta. Botin oma automaatio, joka ei pyydä lupaa keneltäkään, käännettiin sitä itseään vastaan.
Botin operaattori reagoi julkisesti. Hän väitti tappioksi 15 miljoonaa dollaria ja lupasi miljoonan dollarin löytöpalkkion varojen palautuksesta.
Luku on selvästi suurempi kuin Blockaidin lohkoketjusta laskema arvio, joten siihen kannattaa suhtautua varauksella. Miksi tyhjennetty botti paisuttaisi tappiotaan kaksinkertaiseksi? Ehkä isompi numero houkuttelee paremmin tekijää palauttamaan varat.
Jää nähtäväksi, opettaako tapaus muut saalistajabotit varovaisemmiksi vai löytääkö joku pian uuden tavan kääntää niiden ahneus niitä itseään vastaan.
