by cryptoblog Sumber : Rekt News
Tidak ada belas kasihan.
Bot MEV terkenal yang dikenal sebagai 0xbad telah jatuh pada masa-masa sulit, sama seperti kita semua.
Setelah 75 hari mengeksploitasi nilai dari pengguna yang tidak terduga, ancaman mempool ini menjadi bumerang bagi pemiliknya, menciptakan tampilan karma on-chain yang indah.
Setelah satu pengguna yang malang mencoba menukar $1.85M Compound cUSDC untuk USDC di Uniswap v2, kurangnya likuiditas berarti mereka hanya menerima $500 dalam USDC. 0xbad dengan cepat mendapat untung dari swap, menjalankan kembali perdagangan dengan arb rumit yang melibatkan banyak dApps DeFi yang berbeda.
keuntungan $1,02 juta.
Bagus.
Namun…
0xbad dijatuhkan … sangat.
Seorang penyerang anonim melihat cacat dalam kode kontrak arbitrase bot, dan mencuri tidak hanya 800 ETH yang baru saja diakuisisi, tetapi seluruh 1.101 ETH di dompet 0xbad.
Alamat penyerang: 0xb9f78307ded12112c1f09c16009e03ef4ef16612
0xbad: 0xbadc0defafcf6d4239bdf0b66da4d7bd36fcf05a
@bertcmiler dari Flashbots memecahnya:
0xbad tidak melindungi dengan benar fungsi yang mereka gunakan untuk menjalankan dYdX flashloans.
Catatan “callFunction,” yang merupakan fungsi yang dipanggil oleh router dYdX sebagai bagian dari eksekusi flashloan
Saat Anda mendapatkan pinjaman kilat, protokol yang Anda pinjam akan memanggil fungsi standar pada kontrak Anda.
Dalam hal ini dYdX disebut “callFunction” di 0xbad.
Sayangnya untuk 0xbad, kode mereka diizinkan untuk eksekusi sewenang-wenang.
Penyerang menggunakan ini untuk mendapatkan 0xbad menyetujui semua WETH mereka untuk pemboros dalam kontrak mereka.
Penyerang kemudian hanya mentransfer WETH ke alamat mereka.
Turun 0xbad
Untuk menambahkan drama lebih lanjut ke drama, 0xbad memutuskan untuk mencoba dan mengancam penyerang mereka dengan pesan yang dikirim melalui data input transaksi.
Selamat atas ini, kami menjadi ceroboh dan Anda yakin berhasil membuat kami baik, itu tidak mudah dilihat. Kami ingin ini bekerja sama dengan Anda dalam menyelesaikan masalah ini. Kembalikan dana ke @x19603D249DF53d8b1650c762c4df316013Dce840 sebelum 28 September pukul 23:59 GMT dan kami akan menganggap ini topi putih, kami akan memberi Anda 20% dari jumlah yang diambil sebagai hadiah bug, dibayarkan sesuai keinginan Anda. Jika dana tidak dikembalikan pada saat itu, kami tidak punya pilihan selain mengejar sesuai dengan segala daya kami dengan otoritas yang sesuai untuk mengambil dana kami.
Kemudian datang balasan:
Bagaimana dengan orang normal yang Anda telah mev’ed dan benar-benar meniduri mereka? Apakah Anda akan mengembalikannya? Kembalikan dana ke semua orang sebelum 28 September pukul 23:59 GMT dan kami akan menganggap ini sebagai topi putih, kami akan memberi Anda 1% dari jumlah yang diambil sebagai tanda hati yang baik, dibayarkan sesuai keinginan Anda. Jika dana tidak dikembalikan pada saat itu, kami tidak punya pilihan selain mengejar sesuai dengan segala daya kami dengan otoritas yang sesuai untuk mengambil dana kami.
Tahun lalu, di “Kembali ke Hutan Gelap”, kami menulis:
Frontrunning adalah vampir. Ini memberi makan peserta yang lebih lemah, sementara konflik dengan bot lain mendorong harga gas ke tingkat yang tidak dapat digunakan. Sebagian besar waktu, pemenang terdepan…
Tapi tidak kali ini…
Bot MEV bertindak pada batas “kode adalah hukum”.
Di arena PvP yaitu Hutan Gelap Ethereum, terkadang Anda menang dan terkadang kalah.
Terlepas dari kenyataan bahwa dana tersebut tidak pernah dikembalikan ke pemilik aslinya, senang melihat tampilan karma on-chain yang begitu cepat.
Seperti yang ditulis Bert Miller di Twitter:
Kode buruk, konten bagus
Yang akan menjadi tagline yang bagus untuk rekt.news…
