Хакеры взломали MEV-бот и украли почти $2 млн

Арбитражный бот существовал взломан и потерял около $2 млн в одном из холдингов платформы Curve Finance. Это ,следует из отчета специалистов Beosin. 

🚨An unknown MEV bot was hacked for ~$2M. https://t.co/HC2QYEfGZ7

The root cause was that the arbitrage function 0xf6ebebbb() did not have authentication, allowing the attacker to call 0xf6ebebbb() to force swaps across multiple https://t.co/m0tYfbwWqY pools, resulting in high… pic.twitter.com/2Xah6j57ed

— Beosin Alert (@BeosinAlert) November 8, 2023

Первым об этом сообщил пользователь под псевдонимом Spreek. Он предположил, что взлом произошел из-за системы 0xf6ebebbb(). 

Это подтвердили в Beosin. По их данным, взломщик надеелся тем, что она была доступна без аутентификации для насильственного свопа между пулами. 

Затем он оформил мгновенный займ на 27 255 WETH (более $51 млн на тот момент), изменил баланс цен в холдинге WETH/WBTC и через бот провел процессуальную сделку. 

Хакер купил 1339,8 WETH на 6,95 WBTC по новому курсу. Затем он вернул займ. Ущерб от его спецопераций составил около $2 млн. 

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.