Olay, botun otomatik ticaret sisteminin saldırgana token onayları verdiğinde meydana geldi, güvenlik firması Blockaid’e göre. Bu, tipik bir oltalama saldırısı veya kurban sözleşmesindeki doğrudan bir hata değildi, sondern botun ticaret akışının sömürülmesiydi.
Sömürü Ayrıntıları
Saldırgan, WETH, USDC ve USDT’nin görünümünü ve işlevini taklit eden 66 sahte token sözleşmesi ve sahte likidite havuzları kullandı. Bu sözleşmeler, botu harcama haklarını onaylamaya ikna etti, bunlar daha sonra JaredFromSubway MEV bot sözleşmesindeki fonları boşaltmak için kullanıldı. Son işlem, açık onayları kullanarak bot sözleşmesinden saldırganın cüzdanına WETH, USDC ve USDT transfer etmek için kullandı.
Sonrası
JaredFromSubway hesabı, kaybın