Ethereum ekosisteminin en bilinen MEV botlarından JaredFromSubway, Blockaid’in açıklamasına göre saldırganların hazırladığı akıllı sözleşmeler üzerinden ciddi bir fon kaybı yaşadı. Olay Ethereum ağı üzerinde gerçekleşti ve saldırı, botun karlı görünen MEV rotalarını otomatik olarak takip etmesi sırasında ortaya çıktı. Blockaid, bunun klasik bir phishing vakası ya da doğrudan kurban sözleşmedeki geleneksel bir açık olmadığını belirtti. Saldırının temelinde, botun saldırgan kontrollü kontratlara verdiği açık token harcama izinleri yer aldı.
Öne Çıkanlar
- Ethereum’daki ünlü MEV botu JaredFromSubway, saldırgan kontrollü sözleşmelere verdiği token onayları nedeniyle fon kaybı yaşadı.
- Blockaid kaybı yaklaşık 7,5 milyon dolar olarak açıklarken, JaredFromSubway hesabı zararın 15 milyon dolar olduğunu iddia etti.
- Saldırganlar WETH, USDC ve USDT’yi taklit eden sahte token sözleşmeleri ve sahte likidite havuzlarıyla botun işlem sistemini manipüle etti.
Saldırı Token Onayları Üzerinden Gerçekleşti
Blockaid’in teknik değerlendirmesine göre saldırgan önce botun nasıl tepki verdiğini test etti. İlk aşamada kullanılan rotalarda verilen token onayları aynı işlem içinde tüketildiği için açık izin kalmadı. Ancak daha sonra saldırgan rota tasarımını değiştirdi ve botun verdiği bazı onayların kullanılmadan açık kalmasını sağladı.
Bu açık izinler saldırının merkezine yerleşti. Blockaid’in aktardığı örneklerden birinde botun saldırgan tarafından kontrol edilen yardımcı kontrata yaklaşık 92,16 WETH için onay verdiği belirtildi. Daha sonra saldırgan, bu açık onayları kullanarak transferFrom fonksiyonu aracılığıyla WETH, USDC ve USDT gibi varlıkları JaredFromSubway’in MEV Bot 2 sözleşmesinden çekti.
Etherscan kayıtlarında da jaredfromsubway.eth adresinin MEV Bot 2 kontratıyla etkileşime geçtiği ve ardından varlık transferlerinin saldırgan cüzdanına yöneldiği görüldü. Bu durum, saldırının doğrudan özel anahtar ele geçirme ya da basit bir sözleşme açığından çok, otomatik işlem mantığının kötüye kullanılmasıyla gerçekleştiğini gösterdi.
Sahte Tokenlar ve Havuzlar Botu Yanılttı
Saldırının dikkat çeken yönlerinden biri, sahte token ve sahte likidite havuzlarının kullanılması oldu. Saldırganların WETH, USDC ve USDT gibi büyük varlıkları taklit eden 66 sahte token sözleşmesi oluşturduğu belirtildi. Bu tokenlar, sahte havuzlarla birlikte karlı MEV fırsatları varmış gibi gösterildi.
JaredFromSubway gibi MEV botları, Ethereum üzerindeki işlemleri izleyerek karlı görünen fırsatlara otomatik şekilde tepki verir. Bu vakada saldırganlar tam olarak bu refleksi hedef aldı. Bot, karlı işlem rotası gördüğünü düşünerek saldırgan kontrollü sözleşmelere harcama izni verdi. Daha sonra bu izinler fonların çekilmesi için kullanıldı.
Blockaid kaybı yaklaşık 7,5 milyon dolar olarak açıklarken, JaredFromSubway hesabı zararın 15 milyon dolar olduğunu öne sürdü ve fonların tamamen iadesi için 1 milyon dolarlık ödül teklif etti. Kamuya açık paylaşımlarda iki rakam arasındaki farkın nedeni henüz net şekilde açıklanmadı.
MEV Tartışması Yeniden Alevlendi
JaredFromSubway, Ethereum ağındaki en bilinen sandwich botlarından biri olarak tanınıyor. Sandwich saldırılarında bot, kullanıcının takasının önüne ve arkasına işlem yerleştirerek fiyat farkından kazanç elde eder. Bu yöntem, sıradan kullanıcıların daha kötü fiyattan işlem yapmasına neden olabilir.
Bu nedenle son saldırı kripto para topluluğunda farklı tepkiler doğurdu. Bir yandan otomatik işlem sistemlerindeki güvenlik zafiyetleri tartışılırken, diğer yandan MEV botlarının DeFi kullanıcıları üzerindeki etkisi yeniden gündeme geldi. JaredFromSubway daha önce Ethereum kurucularından Vitalik Buterin’in küçük ölçekli bir takasını da sandwich işlemine konu etmişti.
Bu olay, otomatik işlem yapan botlar için token onaylarının ne kadar kritik olduğunu gösterdi. Açık bırakılan onaylar, doğrudan bir sözleşme açığı olmasa bile ciddi kayıplara yol açabiliyor. Özellikle yüksek hızlı işlem yapan MEV sistemlerinde yalnızca kar fırsatına odaklanmak, izin yönetimi zayıfsa büyük bir güvenlik riskine dönüşebiliyor.
Saldırı İle İlgili Veriler
| Başlık | Detay |
| Etkilenen bot | JaredFromSubway MEV Bot 2 |
| Ağ | Ethereum |
| Saldırı yöntemi | Açık token onaylarının kötüye kullanılması |
| Kullanılan varlıklar | WETH, USDC, USDT |
| Sahte sözleşme sayısı | 66 sahte token sözleşmesi |
| Blockaid’e göre kayıp | Yaklaşık 7,5 milyon dolar |
| JaredFromSubway iddiası | Yaklaşık 15 milyon dolar |
| Teklif edilen ödül | 1 milyon dolar |
| Kritik fonksiyon | transferFrom |
| Ana risk | Otomatik sistemlerin saldırgan kontrollü kontratlara harcama izni vermesi |
Sık Sorulan Sorulan
JaredFromSubway nedir?
JaredFromSubway, Ethereum ağında çalışan ve özellikle sandwich işlemleriyle bilinen bir MEV botudur.
Bu saldırı klasik phishing mi?
Blockaid’e göre hayır. Olay, kullanıcıyı kandırıp imza aldıran klasik bir phishing saldırısı değil. Daha çok botun otomatik işlem ve token onay mekanizmasının manipüle edilmesiyle gerçekleşti.
MEV botu nasıl kandırıldı?
Saldırganlar sahte tokenlar ve sahte likidite havuzları oluşturarak karlı işlem fırsatı varmış gibi bir rota hazırladı. Bot da bu rotaya tepki vererek saldırgan kontrollü kontratlara token harcama izni verdi.
Kayıp ne kadar?
Blockaid kaybı yaklaşık 7,5 milyon dolar olarak açıkladı. JaredFromSubway hesabı ise zararın 15 milyon dolar olduğunu iddia etti.
Bu olay neden önemli?
Çünkü saldırı, akıllı sözleşme açığı olmadan da otomatik işlem sistemlerinin açık token onayları üzerinden hedef alınabileceğini gösterdi.