Bot MEV trên Ethereum bị validator khai thác 25 triệu USD

Theo The Block, một số bot MEV đã bị tấn công vào ngày 3/4. Thiệt hại ước tính là 25 triệu USD, con số lớn nhất kể từ tháng 9/2022.

uyntran.web3

Published Apr 03 2023

Updated Dec 22 2023

3 min read

Thủ phạm đã khai thác những bot trên bằng cách thay thế các giao dịch thông thường bằng giao dịch độc hại. Điều này gây tổn thất đáng kể cho các bot MEV.

Joseph Plaza, nhà giao dịch trên nền tảng DeFi Wintermute, cho hay kẻ tấn công có khả năng thiết lập những giao dịch "mồi nhử” để thu hút bot MEV. Sau đó, họ thay thế giao dịch ban đầu bằng giao dịch độc hại, cho phép họ đánh cắp tiền.

#PeckShieldAlert The stolen funds (~25M) are mainly located in 3 addresses, 0x3c98...8eb (~20M), 0x5b04...5b6 (~2.3M) and 0x27bf...f69 (~3M)
0x84cB...8D1, 0x88Fd...7EE, 0x94e0...87C, 0x0429...46C, 0xEafc...D1B, 0xCaCE...975, 0x5b04...5b6 and 0x27bf...f69 these 8 addresses were… https://t.co/7g60VX8ica pic.twitter.com/7oFwYSVoyn
— PeckShieldAlert (@PeckShieldAlert) April 3, 2023

Để chuẩn bị cho cuộc tấn công, thủ phạm đã gửi 32 ETH lên mạng lưới và trở thành validator từ 18 ngày trước. Theo Plaza, người này đã đợi đến khi được phép đề xuất khối dưới tư cách validator. Tiếp đến, họ xáo trộn nội dung của khối và tạo khối mới chứa giao dịch độc hại.

CertiK tiết lộ khi các bot bắt đầu giao dịch hàng triệu USD, validator đã thay đổi giao dịch và lấy đi 1.8 triệu USD WBTC, 5.2 triệu USDC, 3 triệu USD, 1.7 triệu USD DAI và 13.5 triệu USD WETH. Hầu hết số tiền đã được chuyển đến 3 ví khác nhau.

Nhà phát triển hợp đồng thông minh 3155.eth đã phát hiện vụ việc và cảnh báo trên Twitter. Nhà bảo mật blockchain PeckShield cũng nhận thấy tiền đã được chuyển từ 8 địa chỉ ví khác nhau đến 3 ví.

bot mev bị hack 25 triệu usd — Thủ phạm gửi 32 ETH lên mạng lưới để trở thành validator. Nguồn: Etherscan.

Flashbots, nhà phát triển phần mềm MEV trên Ethereum hay còn gọi là MEV-Boost, đã phát hành bản vá lỗi để ngăn sự cố tương tự xảy ra trong tương lai. Các nhà phát triển đã giới thiệu tính năng hướng dẫn trung gian tin cậy giữa người xây dựng khối và validator.

Qua đó, người xác thực giao dịch cần phát hành khối đã ký trước khi truyền nội dung tới người đề xuất. Hành động này nhằm tránh nguy cơ có kẻ xấu trong MEV-Boost đề xuất khối có nội dung khác với giao dịch được yêu cầu.

CertiK nhận định đây là một trong những vụ khai thác bot MEV lớn nhất từ tháng 9/2022. “Chúng tôi đã ghi nhận tổng cộng khoảng 27 triệu USD bị khai thác từ bot MEV sau tháng 9/2022. Sự cố này chiếm phần lớn (25 triệu USD)”, dự án chia sẻ.

Dù bot MEV có khả năng kiếm được lợi nhuận cao, họ cũng dễ bị hack và khai thác. Ngày 28/9/2022, một bot MEV từng kiếm được 800 ETH, tương đương 1 triệu USD lúc bấy giờ, thông qua giao dịch chênh lệch giá. 1h sau, bot này đã mất toàn bộ vào tay hacker do bị khai thác lỗ hổng trong code.

Đọc thêm: The Merge giúp Ethereum loại bỏ 4 tỷ USD ETH khỏi nguồn cung