セキュリティ企業Blockaidは19日、暗号資産(仮想通貨)のMEVボット「Jaredfromsubway.eth」が攻撃を受けたと報告した。
自動取引システムの隙を突いた巧妙な手口
ターゲットとなったのは、イーサリアム(ETH)上で利益機会を素早く見つけて取引を行う有名な自動トレーダーだ。
被害額は約750万ドルに上ると推定されている。
仮想通貨市場において、このようなボットはわずかな価格差から利益を得るために広く利用されている。
攻撃の弱点となったのは、スマートコントラクトの直接的な欠陥や一般的なフィッシング詐欺ではない。ボット自身が持つ自動実行システムそのものが狙われた。
報道によると、攻撃者は利益が出る取引ルートに見せかけた悪意のあるコントラクトを用意した。そして、ボットを誘導して攻撃者が管理するコントラクトへのトークン承認を与えさせた。
この承認を利用して、ボットのコントラクトからラップドイーサリアム(WETH)やUSDC、USDTなどの資金が引き出された。
自動化された取引の仕組みを逆手に取った、計画的な犯行だと言える。
偽の流動性プールを用いた「カウンターMEV」攻撃
今回の攻撃の主な要因は、ボットの自動意思決定ロジックにある。利益が出そうなルートを信頼し、支出許可を与えてしまうシステムの癖が悪用された。
攻撃者は偽のラッパートークンと偽の流動性プールを作成し、正規の取引機会に似せていた。この巧妙な設定により、ボットの自動戦略には正当なルートに見えてしまった。
他の参加者よりも早く取引を成立させるという、速度を重視したボットの設計が裏目に出る形となった。
ブロックエイドは今回の事件を、従来のウォレット侵害とは異なる「カウンターMEV」型の悪用と位置付けている。
攻撃者は数十の偽コントラクトを使用し、時間をかけて準備を進めていた。そして、十分な承認を得た後に最終的な資金の吸い上げを一斉に行った。
なお、被害に遭ったアカウント側はブロックエイドの推定よりも大きな損失額を主張している。
現在までのところ、流出した資金が回収されたという報告は確認されていない。
ポイント
- イーサリアムのMEVボット「JaredFromSubway」が攻撃を受け、約750万ドルの損失が発生した。
- 攻撃者は偽の流動性プールを作成し、ボットの自動取引システムを騙して資金を引き出した。
- 今回の事件は従来のハッキングとは異なり、自動化の隙を突く「カウンターMEV」と呼ばれる手口だった。
99Bitcoinsを信頼する理由
2013年に設立された99Bitcoinsのチームメンバーは、ビットコイン黎明期から仮想通貨のエキスパートとして活躍してきました。
毎週の調査時間
10万以上月間読者数
専門家による寄稿
2000+検証済み仮想通貨プロジェクト
