Een Ethereum-arbitragehandelsbot slaagde erin de jackpot te winnen en alles op dezelfde dag te verliezen in een ironische wending van gebeurtenissen in gedecentraliseerde financiering (DeFi).
In een Twitter-thread, Robert Miller, die werkt bij het onderzoeksbureau Flashbots, gedeeld hoe een Maximal Extractable Value (MEV) bot met het voorvoegsel 0xbadc0de kon 800 Ether verdienen (ETH), ongeveer $ 1 miljoen, via arbitragetransacties.
Volgens Miller profiteerde de bot van een enorme arbitragemogelijkheid die zich voordeed toen een handelaar probeerde $ 1.8 miljoen in cUSDC te verkopen via de gedecentraliseerde uitwisseling (DEX) Uniswap v2 en kreeg er slechts $ 500 aan activa voor terug. De bot ontdekte deze kans en kwam onmiddellijk in actie en behaalde enorme winsten.
Slechts een uur later maakte een hacker echter misbruik van een kwetsbaarheid in de "slechte code" van 0xbadc0de en verleidde hem om een transactie te autoriseren die zijn saldo van 1,101 ETH opslokte, wat op het moment van schrijven ongeveer $ 1.41 miljoen was.
#MEV Een zeer winstgevende MEV-bot, intern 0xbad genoemd, werd op de een of andere manier misleid/gehackt met 1,101 ETH-verlies (~ $ 1.45 miljoen) in de volgende tx: https://t.co/FxXSY8AyhX
- PeckShield Inc. (@peckshield) 27 september 2022
Volgens het blockchain-beveiligingsbedrijf PeckShield is de bug terug te voeren op de callback-routine van de bot, en dit was Exploited door de hacker om een willekeurig adres voor uitgaven goed te keuren.
Zie ook: Pantera CEO optimistisch over DeFi, Web3 en NFT's terwijl Token2049 van start gaat
Op 18 september werd misbruik gemaakt van een kwetsbaarheid in Profanity, een Ethereum vanity-adresgenerator, $ 3.3 miljoen aan fondsen opgebruiken uit verschillende portemonnees. Onderzoeken uitgevoerd door de gedecentraliseerde uitwisseling (DEX) aggregator 1inch Network toonden aan dat er onduidelijkheid was in termen van het maken van de portefeuilles. De DEX waarschuwde gebruikers dat hun portemonnee in gevaar was en drong er bij hen op aan hun activa over te dragen.
Meer dan een week later werd een ander vanity wallet-adres misbruikt en leeggelopen van bijna $ 1 miljoen ETH waard. Na het stelen van het geld stuurden de hackers ze onmiddellijk naar de controversiële cryptomixer Tornado Cash.
Bron: https://cointelegraph.com/news/mev-bot-earns-1m-but-loses-everything-to-a-hacker-an-hour-later