セキュリティ企業のBlockaid(ブロックエイド)は、イーサリアム上で最も活発なMEV「サンドイッチ攻撃」ボットの一つ「jaredfromsubway.eth」が6月20日に攻撃を受け、約750万ドル(約12億円、1ドル=160円換算)相当のWETH・USDコイン(USDC)・テザー(USDT)を奪われたとXで報告した。
MEV(Maximal Extractable Value、最大抽出可能価値)ボットは、ブロックチェーン上のトランザクションを監視して大規模な買い注文を差し込み、その後に売り注文を行うことで利益を搾取する自動化されたプログラムだ。
攻撃者は数週間かけ、主要資産を模した偽のトークンと流動性プールを多数展開し、ボットに好機と誤認させる「ハニーポット」を仕掛けた。
偽の取引は、MEVボットが狙うような、利益の出る取引に見えるように設計されていた。jaredfromsubway.ethのボットは攻撃者が制御するヘルパー契約がボットに代わってトークンを消費することを承認した。それを利用して、攻撃者が資金を引き出したのだ。
Blockaidは今回の手口は、秘密鍵の漏洩でも、広く利用されているDeFiプロトコルの欠陥でもないと説明している。
jaredfromsubway.ethは2023年初頭から稼働しており、その名はSubwayのサンドイッチを食べて減量したことで有名になり、後に児童性犯罪で有罪となったJared Fogle(ジャレッド・フォーグル)氏に由来する。
イーサリアムのサンドイッチ攻撃の約7割はjaredfromsubway.ethが関与しているとされ、5月には共同創設者Vitalik Buterin(ヴィタリック・ブテリン)氏の少額取引にまで割り込み、注目された。
|文・編集:井上 俊彦
|画像:Shutterstock
