イーサリアム上で最も活発なサンドイッチ攻撃ボットの一つ「jaredfromsubway.eth」が6月20日、約750万ドル相当の資金を失いました。流出したのはWETH 1474.58、USDC約287万ドル分、USDT約200万ドル分です。秘密鍵の漏洩や既存DeFiプロトコルの欠陥ではなく、ボット自身の自動売買ロジックが逆手に取られた点が今回の特徴です。
数週間の工作で自動承認を誘発し、資金を引き出した
被害は、セキュリティ企業Blockaidが同日公表した分析で明らかになりました。攻撃者は数週間にわたり、偽トークンと流動性プールを段階的に展開し、jaredfromsubway.ethのボットに利益機会がある取引だと誤認させる環境を整えていました。
そのうえで、ボットが取引を実行する過程で使うヘルパー契約を経由し、トークンの消費承認を取得しました。最終的には、この承認を利用するスイープ用コントラクトが発動し、ウォレット内のWETH、USDC、USDTが引き出されました。
通常、暗号資産(仮想通貨)の流出事件では、秘密鍵の流出やスマートコントラクトの脆弱性が疑われやすいです。今回はそうではなく、取引機会を自動判定して即座に動くボットの性質そのものが攻撃経路になりました。利益を拾うための自動化が、そのまま罠に反応する仕組みに変わった格好です。
Blockaidは、最終的な資金引き出しに使われた攻撃者側アドレスも示しました。別のセキュリティ監視でも被害額はおおむね一致しており、約750万ドル規模の流出として確認されています。
サンドイッチ攻撃の主力ボットが被害に遭った意味
jaredfromsubway.ethは2023年初頭から稼働してきたボットで、イーサリアム上のサンドイッチ攻撃の約7割に関与するとされます。サンドイッチ攻撃は、ユーザーの取引の前後に注文を差し込み、価格変動を利用して利益を得る手法です。一般ユーザーにとっては、気づかないうちに不利な価格で約定させられる原因になりやすく、MEVの中でも悪質性が高い類型として知られています。
その主力ボットが、今度は自らの自動判断を利用されて資金を奪われました。市場参加者の注文を先回りして利益を取る仕組みが、偽の流動性とトークン設計によって誘導され、逆方向に機能した構図です。
参考元:coindesk
画像:shutterstock
世界1億2,000万人が利用 Bitget
人気のグローバル暗号資産取引所
- ✓ 手数料は業界最安水準
- ✓ 最大200倍レバレッジの先物取引
- ✓ 先物手数料永久30%OFF
