El incidente ocurrió cuando el sistema de trading automatizado del bot otorgó aprobaciones de tokens al atacante, según la empresa de seguridad Blockaid. Esto no fue un ataque de phishing típico ni un error directo en el contrato de la víctima, sino más bien una explotación del flujo de trabajo de trading del bot.
Exploit Details
El atacante utilizó 66 contratos de tokens falsos que imitaban la apariencia y función de WETH, USDC, y USDT, emparejados con pools de liquidez falsos. Estos contratos engañaron al bot para que aprobara derechos de gasto, que posteriormente se utilizaron para drenar fondos del contrato MEV de JaredFromSubway. La transacción final utilizó las aprobaciones abiertas para transferir WETH, USDC, y USDT del contrato del bot a la billetera