MEV-бот втратив унаслідок злому близько $2 млн
- Невідомий зловмисник зламав MEV-бот, попередньо змінивши курс у пулі WETH/WBTC на Curve Finance.
- Збитки від його дій становлять близько $2 млн.
- Причина злому криється у відсутності автентифікації торгової функції.
Арбітражний бот був зламаний і втратив близько $2 млн в одному з пулів платформи Curve Finance. Це випливає зі звіту експертів Beosin.
Першим про це повідомив користувач під псевдонімом Spreek. Він припустив, що злом стався через функцію 0xf6ebebbb().
Це підтвердили в Beosin. За їхніми даними, зловмисник скористався тим, що вона була доступна без авторизації для примусового свопу між пулами.
Потім він оформив миттєву позику на 27 255 WETH (понад $51 млн на той момент), змінив баланс цін у пулі WETH/WBTC і через бот провів арбітражну угоду.
Хакер обміняв 1339,8 WETH на 6,95 WBTC за новим курсом. Потім він повернув позику. Збиток від його операцій склав близько $2 млн.
Раніше ми повідомляли про те, як користувач втратив через помилку під час налаштування пулу близько $700 000. Його прорахунком встигли скористатися арбітражні боти.