Уязвимость MEV бота JaredFromSubway: 15 миллионов долларов утеряно
Произошла крупная утечка средств на криптовалютном рынке. Злоумышленник смог манипулировать логикой обнаружения возможностей MEV бота JaredFromSubway, создавая фальшивые возможности торговли криптовалютой. Это привело к значительной финансовой потере.
Подробности
MEV бот JaredFromSubway, работающий на блокчейне Ethereum, был скомпрометирован злоумышленником путем манипулирования логикой обнаружения возможностей. Атакующий создавал фальшивые возможности торговли криптовалютой, что позволяло ему получать незаконную прибыль за счет средств бота. Эта атака не связана с традиционными уязвимостями типа RCE, XSS или проблемами с VPN, MFA или TLS. Скорее, это демонстрирует уязвимости в логике работы криптовалютных приложений и ботов, особенно в части максимизации извлекаемой стоимости (Maximal Extractable Value, MEV). Подобные атаки подчеркивают необходимость тщательного аудита и тестирования криптовалютных приложений, а также использования безопасных API для взаимодействия с блокчейном.Что делать
Для того чтобы защитить свои средства и предотвратить аналогичные атаки, пользователям криптовалютных услуг и разработчикам ботов необходимо уделять больше внимания безопасности своих приложений и алгоритмов. Рекомендуется регулярно обновлять программное обеспечение, использовать безопасные протоколы связи, такие как те, что основаны на технологии TLS, и внедрять надежные системы аутентификации и авторизации,包括 MFA. Кроме того, важно мониторить активность в сети и оперативно реагировать на потенциальные инциденты безопасности. Для защиты от подобных атак также необходимо поддерживать актуальность программного обеспечения и своевременно применять исправления уязвимостей, помеченных соответствующими идентификаторами CVE. Итог: Атака на MEV бот JaredFromSubway является свидетельством необходимости усиления мер безопасности в криптовалютной сфере. Регулярный аудит и обновление программного обеспечения являются важными шагами в предотвращении финансовых потерь и защите конфиденциальной информации.Источник: BleepingComputer
