イーサリアム著名MEVボット「JaredFromSubway」が約750万ドル被害、トークン承認悪用の攻撃受ける

イーサリアムのMEVシステムを狙った攻撃発生

イーサリアム(Ethereum)上で稼働する著名なMEVボット「「jaredfromsubway.eth」が、約750万ドル(約12.1億円)相当の暗号資産(仮想通貨)を流出させる攻撃を受けたことが明らかになった。ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)が6月21日に報告した。この攻撃は、MEVシステムの承認処理を悪用したものになる。

jaredfromsubway.ethは、イーサリアム上でサンドイッチ攻撃などのMEV(Maximal Extractable Value)戦略を実行することで知られるMEVボットだ。MEVとは、取引の並び順などを利用して追加的な利益を獲得する仕組みを指す。MEVボットは、そのような利益機会を自動的に探索・実行するシステムだ。

またjaredfromsubway.ethは、2023年から活動する著名なMEVボットとして知られている。2024年にはオンチェーン分析企業アイゲンファイ(EigenPhi)が、同ボットによる高度化したサンドイッチ攻撃手法について報告していた。また今年5月には、イーサリアム共同創設者のヴィタリック・ブテリン(Vitalik Buterin)氏が4月30日に行った少額の取引に対し、同ボットがサンドイッチ攻撃を実行していたことが報じられ、話題となった。

今回のインシデントは、まずオンチェーン分析アカウントのスペクター(Specter)氏が、JaredFromSubwayに関連するとみられるウォレットから700万ドル超(約11.3億円)の資金流出を確認したと自身のXアカウントで伝えた。

その後ブロックエイドは、同社のエクスプロイト検知システムがJaredFromSubwayに関連する攻撃を検知したと報告した。ブロックエイドによると、攻撃者は自身が管理するコントラクトを利用し、自動MEV実行システムに利益機会と誤認させたという。その結果、JaredFromSubwayのシステムは攻撃者側コントラクトにトークン承認(Approval)を付与し、その承認が後に資金の引き出しに悪用されたとしている。ブロックエイドは、流出した資産の規模を約750万ドル(約12.1億円)と見積もっている。

またスペクターは、開発者のゲオ・ハット(geo hat)氏による分析として、攻撃者が取引経路の中に「おとり」となるコントラクトを組み込み、jaredfromsubway.ethのシステムに承認を付与させた可能性を紹介している。同氏によると、取引実行後も承認が残存する状態となり、攻撃者はその承認を利用して資金を移動させたとみられるという。

ブロックエイドはさらに、今回の攻撃は秘密鍵の漏洩やフィッシング、一般的な分散型金融(DeFi)プロトコルの脆弱性によるものではなく、MEVシステムの意思決定プロセスそのものを標的にした攻撃だったと説明している。

オンチェーン分析アカウントのルックオンチェーン(Lookonchain)によると、流出した資産は1,583.5ETH、287万USDC、209万USDTだったという。また攻撃者は流出資産を4,427ETHへ交換した後、そのうち1,000ETHを暗号資産の送金履歴を匿名化するミキシングサービス「トルネードキャッシュ(Tornado Cash)」へ送金したとしている。なおルックオンチェーンは、4,427ETHを約770万ドル(約12.4億円)と試算している。

記事執筆時点で、JaredFromSubwayの運営者による公式な声明は確認されていない。また、攻撃者の正体や他に影響を受けたコントラクトや資産の有無についても明らかになっていない。

一方、jaredfromsubway.ethを名乗るXアカウントは、今回の被害額を1500万ドル(約24.2億円)と主張し、資金返還に対する懸賞金を提示している。

なお、今回の被害額については複数の数字が報告されている。ブロックエイドは約750万ドル(約12.1億円)と推定しているほか、ルックオンチェーンは流出資産を4,427ETHへ交換後の価値として約770万ドル(約12.4億円)と試算している。また、jaredfromsubway.ethを名乗るXアカウントは被害額を1,500万ドル(約24.2億円)と主張している。ただし、これらの差異が生じている理由については、記事執筆時点で明らかになっていない。

参考:bantegCryptic Woods Research 
画像:PIXTA

関連ニュース

参照元:ニュース – あたらしい経済

コメント

タイトルとURLをコピーしました