Un bot de trading d’arbitrage Ethereum a réussi à toucher le jackpot et à tout perdre le même jour dans une tournure ironique des événements dans la finance décentralisée (DeFi).
Dans un fil Twitter, Robert Miller, qui travaille au cabinet de recherche Flashbots, partagé comment un robot de valeur maximale extractible (MEV) avec le préfixe 0xbadc0de a pu gagner 800 Ether (ETH), soit environ 1 million de dollars, grâce à des transactions d’arbitrage.
Selon Miller, le bot a profité d’une énorme opportunité d’arbitrage qui s’est présentée lorsqu’un trader a tenté de vendre 1,8 million de dollars en cUSDC via l’échange décentralisé (DEX) Uniswap v2 et n’a obtenu que 500 dollars d’actifs en retour. Le bot a détecté cette chance et est immédiatement passé à l’action et a réalisé d’énormes profits.
Cependant, seulement une heure plus tard, un pirate a exploité une vulnérabilité dans le « mauvais code » de 0xbadc0de et l’a amené à autoriser une transaction qui a vidé son solde de 1 101 ETH, soit environ 1,41 million de dollars au moment de la rédaction.
#MEV Un bot MEV très rentable, nommé en interne 0xbad, a été en quelque sorte trompé/piraté avec une perte de 1 101 ETH (~ 1,45 M$) dans le tx suivant : https://t.co/FxXSY8AyhX
– PeckShield Inc. (@peckshield) 27 septembre 2022
Selon la société de sécurité blockchain PeckShield, le bogue peut être attribué à la routine de rappel du bot, et c’était exploité par le pirate pour approuver une adresse arbitraire pour les dépenses.
Lié: Le PDG de Pantera est optimiste sur DeFi, Web3 et NFT alors que Token2049 démarre
Le 18 septembre, une vulnérabilité dans Profanity, un générateur d’adresses personnalisées Ethereum, a été exploitée, drainant 3,3 millions de dollars de fonds de divers portefeuilles. Les enquêtes menées par l’agrégateur d’échange décentralisé (DEX) 1inch Network ont mis en évidence qu’il y avait une ambiguïté en termes de création des portefeuilles. Le DEX a averti les utilisateurs que leurs portefeuilles étaient en danger et les a exhortés à transférer leurs actifs.
Plus d’une semaine plus tard, une autre adresse de vanity wallet a été exploitée et drainée de près d’un million de dollars d’ETH. Après avoir volé les fonds, les pirates les ont immédiatement envoyés au mélangeur crypto controversé Tornado Cash.