Покойся с миром, MEV-бот



Никакой пощады.

Пользующийся дурной славой MEV-бот, известный как 0xbad, переживает не самые лучшие времена, как и все мы.

После 75 дней извлечения прибыли за счет ничего не подозревающих пользователей, эта гроза мемпулов пальнула по своему же владельцу, демонстрируя прекрасный пример ончейновой кармы.

После того, как один неудачливый пользователь попытался обменять $1.85M cUSDC протокола Compound на USDC через Uniswap v2, из-за недостатка ликвидности он получил всего лишь $500 в USDC. 0xbad быстро извлек прибыль от этого свопа, совершив обратную сделку с привлечением сложного арбитража и использованием множества различных дапсов DeFi.

$1.02M прибыли.

Неплохо.

Однако…

0xbad отправили в нокаут… оглушительно.

Анонимный хакер заметил ошибку в коде арбитражного контракта бота, и украл не только заполученные тем недавно 800 ETH, но и вообще все 1,101 ETH в кошельке 0xbad.

Адрес хакера: 0xb9f78307ded12112c1f09c16009e03ef4ef16612

0xbad: 0xbadc0defafcf6d4239bdf0b66da4d7bd36fcf05a

@bertcmiller из Flashbots разложил все по полочкам:

0хbad недостаточно хорошо защитил функцию, которую он использовал для выполнения флэш-займов на dYdX.

Отметьте "callFunction," которая является функцией, вызываемой роутером dYdX как часть процедуры выполнения флэш-займа.

Когда вы получаете флэш-займ, протокол, у которого вы занимаете, вызывает стандартную функцию в вашем контракте.

В данном случае dYdX вызвал функцию "callFunction" у 0xbad.

К несчастью для 0xbad, его код давал возможность провести арбитраж.

Злоумышленник воспользовался этим, чтобы заставить 0xbad валидировать все принадлежавшие ему WETH в пользу spender в его контракте.

Затем злоумышленник просто вывел WETH на свой адрес.

0xbad пришел конец

Чтобы добавить еще больше драматичности в разыгравшуюся драму, 0xbad решил попытаться напугать атаковавшего сообщением, которое он послал через input data транзакции.

Поздравляем вас с этим, мы потеряли бдительность, и вам, конечно, удалось хорошо нас провести, эту ошибку было нелегко заметить. Мы бы хотели сотрудничать с вами при решении этого вопроса. Верните деньги на адрес @x19603D249DF53d8b1650c762c4df316013Dce840 до 28 сентября 23:59 GMT и мы будем расценивать это как поступок этичного хакера, мы дадим вам 20% от украденной вами суммы в качестве баг-баунти, с выплатой в удобной для вас форме. Если вы не вернете деньги до этой даты, у нас не останется иного выбора, кроме как обратиться в соответствующие органы с целью возврата наших средств.

После чего был получен ответ:

А как насчет обычных людей, которых ты кинул на MEVинге и буквально вы@бал? Эти деньги ты вернёшь? Верните деньги всем пострадавшим до 28 сентября 23:59 GMT и мы будем расценивать это как поступок этичного хакера, мы дадим вам 1% от украденной вами суммы в знак доброй воли, с выплатой в удобной для вас форме. Если вы не вернете деньги до этой даты, у нас не останется иного выбора, кроме как обратиться в соответствующие органы с целью возврата наших средств.

В прошлом году, с статье "Возвращение в темный лес" мы написали:

Фронтраннинг - это вампиризм. Он питается за счет более слабых участников, а конфликты с другими ботами поднимают цены на газ до неподъемного уровня. Фронтранеры выигрывают в большинстве случаев...

Но не в этот раз...

MEV-боты действуют на грани этики, которая гласит, что "код это закон".

На арене PvP (игрок против игрока), которую представляет собой темный лес Эфириума иногда вы выигрываете, а иногда - проигрываете.

Несмотря на то, что деньги так и не были возвращены их первоначальным владельцам, приятно наблюдать за тем, как быстро карма работает он-чейн.

Как написал Берт Миллер в Твиттере:

Плохой код, а какой хороший контент

Что стало бы отличным слоганом для rekt.news...


Поделиться

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.