JaredFromSubway.eth, einer der berüchtigtsten Sandwich-Angriffsbots von Ethereum (ETH), wurde um mehr als 7,5 Millionen Dollar erleichtert, nachdem Angreifer seine eigene Handelsautomatisierung gegen ihn verwendeten.
Wichtige Punkte:
- JaredFromSubway.eth verlor mehr als 7,5 Millionen Dollar, als seine Handelsautomatisierung von Angreifer kontrollierte Verträge genehmigte.
- Der Angreifer platzierte über mehrere Wochen 66 Fake-Token und vorgetäuschte Liquiditätspools, um den Bot anzulocken.
- Einige der gestohlenen Gelder wurden über Tornado Cash bewegt, und die Identität des Angreifers ist weiterhin unbekannt.
JaredFromSubway.eth durch Honeypot-Falle ausgenommen
Kein Code wurde kompromittiert.
Der Bot wurde am Samstag geleert, nachdem sein automatisiertes System die Genehmigung für Token-Ausgaben an von Angreifern kontrollierte Verträge erteilt hatte und damit die Schlüssel zu seiner eigenen Treasury aus der Hand gab. Das Sicherheitsunternehmen Blockaid stufte den Vorfall ein und schloss sowohl einen Phishing-Betrug als auch einen Fehler im Opfervertrag aus, aus dem die Gelder abgezogen wurden.
Raz Niv, Chief Technology Officer bei Blockaid, beschrieb die Operation als einen Counter-MEV-Honeypot, also eine Falle, die darauf ausgelegt ist, die vertrauensminimierte Logik auszunutzen, auf die automatisierte Händler stillschweigend angewiesen sind. Sie zielte genau auf das ab, worauf der Bot programmiert war.
Über mehrere Wochen platzierte der Angreifer 66 gefälschte Token, die die Namen von Wrapped Ether, USDC (USDC) und Tether (USDT) kopierten, und kombinierte sie dann mit vorgetäuschten Liquiditätspools. Diese Pools sahen aus wie leichte Arbitrage — genau die Art von Gewinn, nach der der Bot im Mempool sucht, um sie in jedem Block zu erkennen und zuvorzukommen. Eine Transaktion räumte alle drei ab.
Auch lesen: XRP steht vor einem Leverage-Test, während ETF-Nachfrage über 1,44 Mrd. Dollar auf Abverkauf trifft
MEV-Bots stehen vor einem Vertrauensproblem
Die Kehrtwende schmerzte, weil der Bot zu den am meisten verhassten Gewinnmaschinen der Krypto-Welt zählt, seit 2023 läuft und Berichten zufolge Dutzende Millionen Dollar von Tradern abgeschöpft hat, die nie sahen, wie sich die Orders um ihre Swaps schlossen.
Sein Betreiber gehört seit Langem zu den größten Gas-Verbrauchern auf Ethereum und verbrannte zeitweise mehr als zweihundert Ether an einem einzigen Tag, um sich den vorderen Platz in jedem Block zu sichern.
Forscher führen etwa 70 % aller Ethereum-Sandwich-Angriffe auf den Bot zurück, eine Praxis, die Trader im gesamten Netzwerk schätzungsweise rund 60 Millionen Dollar oder mehr pro Jahr kostet. Kaum jemand empfand Mitleid. Ein Sandwich-Bot platziert eine Order direkt vor einen ausstehenden Trade und eine weitere direkt dahinter und kassiert dann die dadurch entstandene Preisdifferenz als unsichtbare Steuer von normalen Nutzern, die das kaum bemerken.
Der Krypto-Investor David Gokhshtein warnte davor, zu feiern, gab jedoch zu, dass jeder, der jemals vom Bot gesandwicht wurde, nun schwerlich Mitleid mit ihm haben dürfte. Einige der gestohlenen Gelder wurden bereits über Tornado Cash bewegt.
Der Abzug beendet eine lange und aggressive Phase. Im Mai sandwicht der Bot den Ethereum-Mitgründer Vitalik Buterin bei einem kleinen Token-Swap, ein Zeichen dafür, dass selbst prominente Wallets seine Aufmerksamkeit auf sich zogen, wenn auch bei vergleichsweise kleinem Verlust. Der Verlust am Samstag markierte einen seltenen und kostspieligen Fehlschlag für eine Operation, die über mehr als zwei Jahre weitgehend unangefochten lief, und Ermittler verfolgen weiterhin, wohin der Rest geflossen ist.
Weiterlesen: Warum änderte Trump nach dem G7-Treffen seine Sicht auf die Anthropic-Bedrohung?