Ethereum ağında en aktif MEV “sandviç” botlarından biri olan jaredfromsubway.eth, zincir üstü analizlere göre cumartesi günü bir saldırgan tarafından hedef alındı. Saldırgan, botun otomatik işlem sistemini kendi kontrolündeki akıllı sözleşmeleri onaylaması için kandırarak cüzdandaki varlıkları boşalttı.
Blockaid, saldırganın ele geçirdiği varlıkların yaklaşık 7,5 milyon dolar değerinde WETH, USDC ve USDT’den oluştuğunu açıkladı. Botun operatörü ise takma isimle faaliyet gösteriyor ve henüz doğrulanmış bir kamuoyu açıklaması yapmadı. 2023’te yapılan bir röportajda, botun temsilcisi herhangi bir sosyal medya hesabı olmadığını belirtmişti.
Etherscan tarafından “jaredfromsubway: MEV Bot 2” olarak etiketlenen bu bot, 2023 başından beri Ethereum’da sandviç işlemleriyle öne çıkıyor ve ağın en üretken MEV operatörleri arasında yer alıyor. İsmini, sandviç saldırılarındaki yöntemine göndermeyle, itibarını kaybetmiş Subway sözcüsü Jared Fogle’dan alıyor. Sandviç saldırılarında, otomatik bir işlem botu, bir işlemin iki tarafında da pozisyon alarak kullanıcıdan maksimum değer (MEV) elde etmeye çalışıyor.
Saldırı ilk olarak cumartesi günü zincir üstü analist Specter tarafından tespit edildi. Analist, bota bağlı bir cüzdandan 7 milyon doların üzerinde kayıp yaşandığını belirtti. Zincir üstü veriler, işlemin 18:49 UTC’de gerçekleştiğini ve tek bir transferle 1.474,58 WETH, yaklaşık 2,87 milyon USDC ve 2 milyon USDT’nin saldırganın adresine aktarıldığını gösterdi.
Blockaid, olayın bir phishing saldırısı, özel anahtar sızıntısı veya yaygın kullanılan bir merkeziyetsiz finans protokolündeki bir açık nedeniyle gerçekleşmediğini belirtti. Şirket, saldırganın kontrolündeki akıllı sözleşmelerin, botun işlem sistemini token onayları vermeye yönlendirdiğini ve bu onayların daha sonra fonları taşımak için kullanıldığını açıkladı.
Karmaşık Bir Tuzak
Blockaid’in analizine göre, saldırgan haftalar boyunca WETH, USDC ve USDT’yi taklit eden 66 sahte token sözleşmesi oluşturdu ve bunları sahte likidite havuzlarıyla eşleştirdi. Botun algoritması, bu yolları kârlı fırsatlar olarak algıladı.
Bot, saldırganın kontrolündeki yardımcı sözleşmelere gerçek token’larını harcama izni verdi. Blockaid, küçük deneme işlemlerinde bu onayların işlem sırasında tüketildiğini, ancak daha büyük işlemlerde onayların açık bırakıldığını belirtti.
Takma isimli geliştirici banteg’in pazar günü yayımladığı adli raporda, bu mekanizma “blok-silahlı anahtar” olarak tanımlandı. Aynı alt sözleşme tasarımı, küçük test işlemlerinde normal şekilde çalışırken, büyük işlemlerde onayları açık bırakarak botun varlıklarının çekilmesine yol açtı.
Raporda, her biri yaklaşık 92,16 WETH olan 16 aktif WETH onayının, toplamda son transferde çekilen 1.474,58 WETH ile örtüştüğü belirtildi.
Son işlem, bir takas değil doğrudan bir çekim olarak gerçekleşti. Koordinatör sözleşmesi, 66 alt sözleşmede aynı anda “withdraw” fonksiyonunu çağırarak botun bakiyesini açık onay limiti kadar çekip saldırgana aktardı.
Saldırgan, çalınan varlıkları yaklaşık 4.427 ETH’ye çevirdi ve bunun 1.000 ETH’sini daha önce yaptırıma tabi tutulan Tornado Cash mikserine yatırdı. Bu bilgi, zincir üstü takip platformu Lookonchain tarafından paylaşıldı.
Raporda ayrıca, varlıkların aktarıldığı adresin, Ethereum’un 2025 Pectra güncellemesiyle gelen EIP-7702 yetkilendirmeli bir hesap olduğu belirtildi. Bu özellik, standart bir cüzdanın akıllı sözleşme kodu çalıştırmasına olanak tanıyor.
Doğrulanmamış X Hesabı Gündemde
jaredfromsubway.eth ismini kullanan ve @jaredsmev kullanıcı adına sahip bir X hesabı, botun 15 milyon dolar kaybettiğini iddia ederek fonların iadesi için 1 milyon dolarlık ödül teklif etti ve ihbarcıların kendisiyle özelden iletişime geçmesini istedi. Ancak birçok zincir üstü yorumcu, bu hesabın botun gerçek operatörü olmadığını ve bir taklitçi olduğunu belirtti.
Hesabın bu ay dahil olmak üzere sekiz kez kullanıcı adını değiştirdiği ve geçmişte promosyon içerikli paylaşımlar yaptığı görülüyor. The Block, hesap ile bot arasında herhangi bir bağlantı doğrulayamadı ve hiçbir güvenlik şirketi 7,5 milyon dolardan daha büyük bir kayıp tespit etmedi.
Ethereum’un En Aktif Botlarından Biri
jaredfromsubway.eth botu, Ethereum’un MEV ekosisteminde en çok bilinen isimlerden biri olarak öne çıkıyor. 2024’te ortaya çıkan “Jared 2.0” versiyonu 85.000’den fazla işlem gerçekleştirdi ve operatörü bir dönem Ethereum ağında günlük en yüksek işlem ücreti ödeyen kullanıcı oldu.
Mayıs ayında, botun Ethereum kurucu ortağı Vitalik Buterin’in küçük bir takasını sandviçleyerek yalnızca birkaç dolarlık bir işlem için 1,14 milyon doların üzerinde WETH kullandığı tespit edilmişti.
Saldırganın kimliği ve başka sözleşmelerin veya fonların etkilenip etkilenmediği ise haberin yayına hazırlandığı sırada netlik kazanmadı.
Bu içerik hazırlanırken faydalanılan kaynaklar: theblock.co
