Hack dan eksploitasi semakin berakar umbi dalam ruang crypto. Dengan penerimaan aset digital secara global, jenayah juga berkembang. Penjenayah menggunakan lebih banyak pendekatan teknologi untuk membantu eksploitasi dan penggodaman mereka pada protokol dan platform. Celah yang sedikit dan boleh diabaikan sudah cukup untuk menghasilkan eksploitasi ini.
Bot MEV, bot perdagangan arbitraj Ethereum, mengumpul $1 juta sebagai hadiah jackpot. Walau bagaimanapun, kegembiraan keuntungannya tidak lama kerana peristiwa ternyata negatif untuknya beberapa jam kemudian. Sebelum merenung secukupnya pada nilai yang luar biasa, satu penggodaman menghapuskan keuntungan.
Keuntungan Kripto MEV Bot Datang Melalui Peluang Perdagangan Arbitraj
Robert Miller, seorang pekerja Flashbots, sebuah firma penyelidikan, menggunakan Twitter untuk melaporkan serangan itu. Beliau menyatakan bahawa bot Nilai Boleh Diekstrak Maksimum (MEV) dengan awalan 0xbadc0de memperoleh Eter melalui perdagangan arbitraj. Beliau berkata bot itu memperoleh sehingga 800 ETH bernilai kira-kira 1 juta dalam kerja-kerja itu.
Bot itu memanfaatkan peluang arbitraj yang besar daripada jualan pedagang daripada penjelasan Miller. Urus niaga itu melibatkan kira-kira $1.8 juta dalam cUSDC melalui Uniswap v2, pertukaran terdesentralisasi (DEX). Dagangan itu menghasilkan hanya $500 aset sebagai balasan. Setelah mengesan kelebihan itu, bot itu segera menggunakan ketersediaannya untuk memperoleh pendapatan yang besar.
Tetapi keuntungan bot tidak dapat bertahan lebih lama apabila penggodam menemui kelemahan dalam kod buruknya. Pelakon jahat menggunakan luput itu untuk menipunya supaya membenarkan transaksi. Penggodam menghapuskan baki bot, kira-kira 1,101 ETH.
PeckShield, sebuah syarikat keselamatan blockchain, mendedahkan bahawa pepijat itu boleh dikesan kepada rutin panggil balik bot. Ini berfungsi sebagai celah untuk eksploitasi yang melaluinya penggodam meluluskan alamat sewenang-wenangnya untuk perbelanjaan.
Serangan Kerentanan Serupa
Serangan kerentanan terhadap ruang kripto semakin meroket. Sebagai contoh, penjana alamat sia-sia Ethereum, Profanity, merekodkan eksploitasi kelemahan pada 18 September. Serangan itu berakhir dengan kehilangan dana bernilai $3.3 juta daripada dompet yang berbeza.
Rangkaian 1Inch, pengagregat DEX, menyiasat eksploitasi itu. DEX menemui beberapa kesamaran dalam penciptaan dompet yang dikompromi. Ia memberi amaran kepada pengguna dompet untuk memindahkan dana mereka kerana risiko yang berkaitan dengan penggunaan mereka.
Terdapat satu lagi eksploitasi pada alamat dompet solek hanya seminggu selepas Profanity. Serangan itu mengakibatkan kehilangan beberapa Ether yang bernilai kira-kira $1 juta. Penggodam memindahkan hasil mereka kepada Tornado cash, pengadun crypto yang baru-baru ini dibenarkan.
Imej pilihan daripada Pixabay, Carta: TradingView.com
Sumber: https://www.newsbtc.com/news/mev-crypto-bot-gains-1m-but-loses-same-to-hack-same-day/