أشار موقع 36Crypto إلى أن أحد أشهر بوتات MEV على شبكة إيثريوم Ethereum، والمعروف باسم jaredfromsubway.eth، تعرض لخسارة تقدر بنحو 7.5 مليون دولار، بعد أن استخدم مهاجمون عقودا مزيفة لعملات رقمية لخداع نظام التداول الآلي الخاص به.
وبحسب شركة الأمن البلوكتشيني Blockaid، اعتمدت عملية الاستغلال على مجمعات سيولة مزيفة وأذونات تداول معدلة سمحت في النهاية للمهاجم بسحب ملايين الدولارات من الأصول الرقمية.
وقد جذبت الحادثة انتباه القطاع بأكمله سريعا، كون jaredfromsubway.eth يُصنف من بين أكثر بوتات السندويتش نشاطا على شبكة إيثريوم ETH، وبحسب المحلل الذي يعمل على بيانات السلسلة Specter، فإن المحفظة المرتبطة بهذا البوت خسرت أكثر من 7 ملايين دولار في معاملة واحدة فقط نفذت يوم السبت.
وأظهرت بيانات السلسلة أن المهاجم سحب نحو 1474.58 رمزا من عملة WETH، وما يقارب 2.9 مليون دولار من عملة USDC، وحوالي 2 مليون دولار من عملة USDT، في حين قدّرت Blockaid القيمة الإجمالية للأصول المسروقة بنحو 7.5 مليون دولار.
كيف خدع المهاجم خوارزميات التداول الآلي خطوة بخطوة؟
وذكر الموقع أن المحققين لم يعثروا على أي دليل يشير إلى تسريب المفتاح الخاص للبوت، كما استبعدوا فرضية وقوع هجوم تصيد احتيالي Phishing أو وجود ثغرات في بروتوكولات التمويل اللامركزي DeFi الكبرى، وبدلا من ذلك، خلص الباحثون إلى أن المهاجم تمكن من التحكم في عملية التداول الآلي للبوت نفسه.
فقد قضى المهاجم عدة أسابيع في بناء شبكة مكونة من 66 عقدا مزيفا لعملات رقمية، صُممت لتقليد أصول معروفة مثل WETH وUSDC وUSDT، وبالإضافة إلى ذلك، نشر المهاجم مجمعات سيولة مزيفة بدت شرعية تماما بالنسبة لخوارزميات التداول الخاصة بالبوت، مما دفع النظام إلى اعتبار هذه المسارات فرصا محتملة الربحية، وخلال المعاملات الأولى، عمل هذا الفخ كما هو مخطط له، بل حقق أرباحا صغيرة، ما جعل البوت يستمر في التفاعل مع العقود الخبيثة دون رصد أي تهديد حقيقي.
لكن المعاملات الأكبر أفرزت نتيجة مختلفة تماما، فوفقا لتقرير جنائي رقمي نشره المطور المستعار banteg، غيّرت العقود سلوكها عند استيفاء شروط معينة محددة مسبقا من قبل المهاجم.
وأصدرت شركة Blockaid تنبيها عاما عبر منصة X حذرت فيه من وقوع استغلال يستهدف بوت MEV المعروف بحساب @jaredsmev على شبكة إيثريوم ETH، مؤكدة أن الحادثة نتجت عن عقود يتحكم بها المهاجم خدعت نظام تنفيذ MEV الآلي لمنحه أذونات تداول استُخدمت لاحقا في تصريف الأموال.
أذونات تداول نشطة فتحت الباب أمام أكبر عملية سحب للأموال
وأفاد الموقع أن المعاملات الصغيرة كانت تستهلك أذونات التداول بشكل طبيعي، في حين تركت المعاملات الأكبر تلك الأذونات سارية ونشطة، وبهذا احتفظ المهاجم بصلاحية الوصول إلى كميات كبيرة من أصول البوت دون أن يلاحظ النظام أي خلل.
وحدد التقرير الجنائي وجود 16 إذنا نشطا لعملة WETH، تبلغ قيمتها الإجمالية نحو 1474.58 رمزا، وهي كمية تتطابق تقريبا مع المبلغ الذي تم سحبه خلال عملية الاستغلال النهائية، وبعد ذلك، نفذ المهاجم عملية سحب منسقة بدقة، حيث قام عقد رئيسي بتفعيل 66 عقدا فرعيا في الوقت نفسه، مما سمح لكل عقد فرعي بسحب الأموال حتى الحد المسموح به ضمن الإذن الممنوح له، وتحويلها مباشرة إلى محفظة المهاجم.
ويُظهر هذا الأسلوب مستوى عاليا من التخطيط المسبق والدقة التقنية، إذ استغل المهاجم آلية عمل أذونات التوكنات Token Approvals بطريقة منهجية ومدروسة على مدى أسابيع كاملة، قبل أن يوجه الضربة النهائية في معاملة واحدة منسقة شملت جميع العقود الفرعية في الوقت نفسه.
ويرى خبراء أمن بلوكتشين أن هذا النوع من الهجمات يكشف عن ثغرة منهجية في طريقة تعامل أنظمة التداول الآلي مع أذونات الإنفاق، خاصة عندما تترك تلك الأذونات سارية لفترات طويلة دون مراجعة أو تحديد سقف زمني واضح لانتهائها.
الحادثة تكشف مخاطر متزايدة تهدد أنظمة التداول الآلي
وكشف الموقع أن المهاجم قام، بحسب متتبع بيانات السلسلة Lookonchain، بتحويل الأصول المسروقة إلى ما يقارب 4427 عملة ETH، فيما أظهرت سجلات البلوكتشين انتقال 1000 عملة ETH في وقت لاحق إلى منصة Tornado Cash.
وفي السياق نفسه، عرض حساب على منصة X يزعم تمثيله لـ jaredfromsubway.eth مكافأة بقيمة مليون دولار لمن يقدم معلومات تساعد على استعادة الأموال المسروقة، إلا أن عددا من المراقبين على السلسلة شككوا في صحة هذا الحساب، في حين لم يصدر أي بيان موثق عن المشغل الفعلي للبوت.
ويمثل هذا الاستغلال نكسة كبيرة لأحد أبرز المشاركين في مجال MEV على شبكة إيثريوم ETH، حيث اكتسب jaredfromsubway.eth شهرته من خلال استراتيجيات التداول من نوع السندويتش، وكان في وقت من الأوقات من بين أكبر منفقي رسوم الغاز يوميا على الشبكة.
ويوضح هذا الحادث كيف يمكن لجهات متطورة تقنيا استغلال أنظمة التداول الآلي عبر بنى عقود خادعة، فمن خلال إنشاء أسواق مزيفة مقنعة وتأمين أذونات تداول صحيحة شكليا، تمكن المهاجم من تصريف ملايين الدولارات من أحد أكثر بوتات MEV نشاطا على الشبكة.