この事件は、ボットの自動取引システムが攻撃者にトークン承認を与えたときに発生したと、セキュリティ会社のBlockaidは述べている。 これは、典型的なフィッシング攻撃や被害者のコントラクトに直接バグがあることではなく、ボットの取引ワークフローを利用したものであった。
Exploit Details
攻撃者は、WETH、USDC、USDTの外観と機能を模した66の偽のトークンコントラクトと偽の流動性プールを使用した。 これらのコントラクトは、ボットを支出権の承認に同意させ、後にJaredFromSubway MEVボットコントラクトから資金を引き出すために使用された。 最終的な取引では、開催承認を使用して、ボットコントラクトから攻撃者のウォレットへのWETH、USDC、USDTの