מתקפת מלכודת דבש: כיצד אחד מבוטי MEV הידועים באת'ריום איבד מיליונים

#1 · 21/06/2026, 08:17

ציטוט מ מערכת האתר ב 21/06/2026, 08:17

התקפת סייבר מתוחכמת גרמה לאובדן של כ-7.5 מיליון דולר מבוט ה-MEV של JaredFromSubway, אחד מהכלים הפעילים ביותר באת'ריום להתקפות סנדוויץ'. האירוע התרחש לאחר שהתוקף הצליח להערים על הבוט לאשר הוצאות שלא היו אמורות להתבצע. חברת האבטחה Blockaid, שחשפה את המתקפה, הבהירה כי לא היה זה באג בחוזה חכם, מתקפת פישינג או דליפת מפתח פרטי שגרמה לאובדן. התוקף ניצל את לוגיקת החיפוש אחר רווחים של הבוט עצמו כדי להפוך את המערכת נגדו.

בוט ה-MEV של JaredFromSubway בנוי על אסטרטגיה אוטומטית הסורקת את מאגר העסקאות של את'ריום כדי לאתר עסקאות רווחיות. תהליך זה מוכר כערך מקסימלי שניתן להפיק (MEV). הבוט פועל על ידי הקדים ומאחר עסקאות אחרות, תוך ניצול הפרשי המחירים, טקטיקה הידועה כהתקפת סנדוויץ'. כך הצליח הבוט לצבור רווחים, אך הפעם, השיטה הפכה לחולשה.

התוקף שהצליח להערים על הבוט השקיע שבועות בתכנון והטמעת 66 חוזי טוקן מזויפים. החוזים חיקו את המטבעות הפופולריים Wrapped Ether (WETH), USD Coin (USDC) ו-Tether (USDT). כתוצאה מכך, בוט ה-MEV התרוקן מכ-7.5 מיליון דולר בקריפטו, לרבות 1,474.58 WETH, 2.87 מיליון USDC ו-2 מיליון USDT. התוקף הצליח להחליף את הכספים הגנובים ל-4.4 אלף מטבעות ETH והפקיד 1,000 מהם ל-TornadoCash.

התקפות סנדוויץ' כמו זו זוכות לעיתים קרובות לביקורת בשל היותן מס נעלם על סוחרים יומיומיים. במקרה זה, המלכודת הפכה את המהירות והאגרסיביות של הבוט לחולשה. ציד בוטי MEV אינו חדש, וכבר ב-2023 רוקן מאמת סורר כ-25 מיליון דולר מבוטי סנדוויץ' MEV אחרים.

בעקבות האירוע, מפעיל הבוט הציב את ההפסד קרוב יותר ל-15 מיליון דולר והציע פרס של מיליון דולר להחזרת הכספים. חברת Blockaid ו-PeckShield מעריכות כי הריקון על הרשת היה כ-7.5 מיליון דולר. ייתכן כי התאוששות הכספים תלויה כעת בהסכמת התוקף לקבל את ההצעה.

האירוע ממחיש את הסיכונים והאתגרים בעולם הקריפטו, במיוחד בכל הנוגע לפעילות אוטומטית. מה דעתכם על התקפות מסוג זה? האם יש דרך בטוחה יותר להגן על הבוטים והמערכות הללו?

התקפת סייבר מתוחכמת גרמה לאובדן של כ-7.5 מיליון דולר מבוט ה-MEV של JaredFromSubway, אחד מהכלים הפעילים ביותר באת'ריום להתקפות סנדוויץ'. האירוע התרחש לאחר שהתוקף הצליח להערים על הבוט לאשר הוצאות שלא היו אמורות להתבצע. חברת האבטחה Blockaid, שחשפה את המתקפה, הבהירה כי לא היה זה באג בחוזה חכם, מתקפת פישינג או דליפת מפתח פרטי שגרמה לאובדן. התוקף ניצל את לוגיקת החיפוש אחר רווחים של הבוט עצמו כדי להפוך את המערכת נגדו.

בוט ה-MEV של JaredFromSubway בנוי על אסטרטגיה אוטומטית הסורקת את מאגר העסקאות של את'ריום כדי לאתר עסקאות רווחיות. תהליך זה מוכר כערך מקסימלי שניתן להפיק (MEV). הבוט פועל על ידי הקדים ומאחר עסקאות אחרות, תוך ניצול הפרשי המחירים, טקטיקה הידועה כהתקפת סנדוויץ'. כך הצליח הבוט לצבור רווחים, אך הפעם, השיטה הפכה לחולשה.

התוקף שהצליח להערים על הבוט השקיע שבועות בתכנון והטמעת 66 חוזי טוקן מזויפים. החוזים חיקו את המטבעות הפופולריים Wrapped Ether (WETH), USD Coin (USDC) ו-Tether (USDT). כתוצאה מכך, בוט ה-MEV התרוקן מכ-7.5 מיליון דולר בקריפטו, לרבות 1,474.58 WETH, 2.87 מיליון USDC ו-2 מיליון USDT. התוקף הצליח להחליף את הכספים הגנובים ל-4.4 אלף מטבעות ETH והפקיד 1,000 מהם ל-TornadoCash.

התקפות סנדוויץ' כמו זו זוכות לעיתים קרובות לביקורת בשל היותן מס נעלם על סוחרים יומיומיים. במקרה זה, המלכודת הפכה את המהירות והאגרסיביות של הבוט לחולשה. ציד בוטי MEV אינו חדש, וכבר ב-2023 רוקן מאמת סורר כ-25 מיליון דולר מבוטי סנדוויץ' MEV אחרים.

בעקבות האירוע, מפעיל הבוט הציב את ההפסד קרוב יותר ל-15 מיליון דולר והציע פרס של מיליון דולר להחזרת הכספים. חברת Blockaid ו-PeckShield מעריכות כי הריקון על הרשת היה כ-7.5 מיליון דולר. ייתכן כי התאוששות הכספים תלויה כעת בהסכמת התוקף לקבל את ההצעה.

האירוע ממחיש את הסיכונים והאתגרים בעולם הקריפטו, במיוחד בכל הנוגע לפעילות אוטומטית. מה דעתכם על התקפות מסוג זה? האם יש דרך בטוחה יותר להגן על הבוטים והמערכות הללו?