MEV Bot Paling Terkenal di Ethereum Kehilangan US$7,5 Juta dalam Perangkap Honeypot On-Chain

Seorang penyerang menguras sekitar US$7,5 juta dari bot JaredFromSubway MEV, salah satu sistem sandwich-attack paling aktif di Ethereum, setelah berhasil menipu bot tersebut agar menyetujui penggunaan token yang seharusnya tidak diberikan izin.

Perusahaan keamanan Blockaid, yang menemukan insiden ini, menyampaikan bahwa bot tersebut tidak terkena bug smart-contract, serangan phishing, ataupun kebocoran private-key. Sebaliknya, penyerang memanfaatkan logika pencari keuntungan dari bot itu sendiri untuk melancarkan aksinya.

Bagaimana Bot MEV Ini Tertipu

Bot JaredFromSubway MEV menjalankan strategi otomatis yang memindai mempool Ethereum untuk mencari peluang trading yang menguntungkan. Praktik ini dikenal sebagai maximal extractable value.

Bot ini melakukan front-run dan back-run terhadap transaksi lain untuk mendapatkan selisih harga, dengan taktik yang disebut sandwich attack.

Bot ini menjadi terkenal pada April 2023. Dalam satu hari, bot ini membakar lebih dari US$1 juta untuk biaya gas, setara dengan hampir 8% dari seluruh pengeluaran gas Ethereum saat itu.

Penyerang menghabiskan waktu berminggu-minggu untuk meluncurkan 66 kontrak token palsu. Token palsu tersebut meniru Wrapped Ether (WETH), USD Coin (USDC), dan Tether (USDT).

Bagi bot tersebut, kontrak-kontrak ini nampak seperti rute trading yang memang ia cari. Bot itu pun termakan umpan, dan memberikan persetujuan penggunaan token ke kontrak pembantu yang dikendalikan penyerang. Satu persetujuan saja sudah menyerahkan lebih dari 92 WETH kepada mereka.

Lalu, kontrak terakhir kemudian menggunakan izin terbuka ini untuk menyapu dana asli dari bot tersebut.

Perangkap Reverse-MEV

Perangkap ini mengubah kecepatan serta agresivitas bot menjadi kelemahannya sendiri. Memburu bot MEV bukanlah hal baru. Pada tahun 2023, seorang validator nakal menguras sekitar US$25 juta dari bot MEV sandwich.

Serangan sandwich seperti ini memang sudah lama menuai kritik karena dianggap sebagai pajak tak kasat mata bagi trader sehari-hari.

Pengelola bot memperkirakan kerugian bahkan mendekati US$15 juta. Mereka juga menawarkan hadiah sebesar US$1 juta jika dana tersebut dikembalikan. Sementara Blockaid dan PeckShield menaksir nilai dana yang terkuras di jaringan mencapai sekitar US$7,5 juta dalam bentuk WETH, USDC, dan USDT.

Kemungkinan operator bisa memulihkan dana sekarang akan bergantung pada apakah penyerang bersedia menerima tawaran tersebut.