Bir MEV botu, büyük bir arbitraj fırsatından yararlandı. Lakin makus kod nedeniyle hazinesini kaybetti. Tekrar de 800 ETH kazanmayı başarmıştı. İşte detaylar…
Bir bot, 800 ETH kazandı
Salı gecesi, bir Ethereum MEV botu akıllı arbitraj kullanarak 800 ETH kazandı. Lakin bir saat sonra hepsini ve hatta daha fazlasını bir hacker’a kaptırdı. Aktiflik, üçüncü taraf bir trader’ın kazara gerçekleştirdiği Uniswap v2 süreçleriyle başladı. Ticaret platformundaki spreadlere yaklaşık 2 milyon dolar kaybetti. Başlangıçta 1.8 milyon cUSDC ile süreç yaparken, karşılığında yalnızca 518 USDC aldı.
Flashbots Eser Başkanı Robert Miller’a nazaran, bu sırf öbür bir traderın içeri girip bol ölçüde ETH talep etmesi için “büyük bir arbitraj fırsatı” yarattı. Miller, “0xbaDc0dE (MEV botu), mempool’daki fırsata vazife şuuruyla geri koştu,” diye açıkladı.
Hacker, 1.4 milyon dolar çaldı
Sonuç olarak, bot, 800 ETH kazandı. Fakat, bu Ethereum yalnızca bir saat sonra büsbütün çalındı. Miller, botun dYdX (DYDX) flash kredilerini yürütmek için kullandığı fonksiyonu düzgün bir formda korumadığını belirtiyor. Bunun da onu savunmasız bıraktığını tez ediyor. Miller, aşağıdaki tabirleri kullanıyor:
Bir flash kredi aldığınızda, ödünç aldığınız protokol, kontratınızda standart bir fonksiyon arayacaktır. 0xbaDc0dE’nin kodu maalesef keyfi yürütmeye müsaade verdi.
Bu güvenlik açığından yararlanan bir saldırgan, kontrata harcanması için botun tüm WETH’ini onayladı. Akabinde kendi adresine aktardı. Bu, toplamda 1,106 WETH’ye eşdeğerdi. Şu an bedeli 1,4 milyon doların üzerinde.
Yakın vakitte Profanity hack’i yaşandı
Bu sırada, Profanity tarafından oluşturulan çok sayıda özel adres de bu ay 1 milyon dolarlık ETH’nin çalınmasıyla gündeme geldi. Kriptokoin.com olarak da bildirdiğimiz üzere en son istismar, 1inch’in Profanity aracında önemli bir güvenlik açığı keşfetmesinden sonra yaşandı. Bunun akabinde potansiyel bir istismarın akabinde kullanıcı fonlarının kayıp riski altında olduğunu belirtmişti. 2017’de piyasaya sürülen Profanity, ETH kullanıcılarının “özel adresler” oluşturmalarını sağlamak için tasarlanmış bir araçtır.
1inch’in raporuna nazaran, özel adres üreticisi, 256-bit özel anahtarlar için rastgele bir 32-bit vektör kullanır. Profanity, özel anahtarların oluşturulmasında temel güvenlik problemlerini tespit ettikten sonra geliştiricileri tarafından bırakıldı. 1inch güvenlik raporundan kısa bir mühlet sonra, bir hacker, geçen hafta araçla oluşturulan birkaç Ethereum adresinden 3,3 milyon dolar kıymetinde kripto para çaldı.