Wie ein Bot in einer Nacht über 1 Million Dollar an ETH gewonnen und verloren hat

Am Dienstagabend gewann ein Ethereum MEV-Bot 800 ETH durch den Einsatz von cleverer Arbitrage, nur um eine Stunde später alles und mehr an einen Hacker zu verlieren.

So spielte sich die Situation in der Kette ab:

• Das Ereignis begann damit, dass ein Dritthändler fälschlicherweise fast 2 Millionen Dollar durch Spreads beim Uniswap v2-Handel verlor. Während er anfänglich mit 1.8 Millionen cUSDC handelte, handelte er nur Received 518 USDC im Gegenzug. 
• Laut Flashbots-Produktleiter Robert Miller hat dies nur eine „massive Arbitrage-Möglichkeit“ für einen anderen Händler geschaffen, um einzusteigen und viel ETH zu beanspruchen.
• „0xbaDc0dE [der MEV-Bot] hat den Arb im Mempool (!) pflichtbewusst in einem laaangen Arb zurückgesendet, der viele Protokolle berührt“, erklärte er. Am Ende hat der Bot 800 ETH verrechnet. 
• Diese ETH wurde jedoch nur eine Stunde später vollständig gestohlen. Miller behauptet, der Bot habe die Funktion, die er zur Ausführung von dydx-Flashloans verwendet, nicht richtig geschützt, wodurch er anfällig wurde.

„Wenn Sie einen Blitzkredit erhalten, ruft das Protokoll, von dem Sie ausleihen, eine standardisierte Funktion in Ihrem Vertrag auf“, sagte er. „Der Code von 0xbaDc0dE erlaubte leider eine willkürliche Ausführung.“

• Unter Ausnutzung dieser Schwachstelle genehmigte ein Angreifer die gesamte WETH des Bots für die Ausgaben für den Vertrag und übertrug sie dann an seine eigene Adresse. Das waren insgesamt 1,106 WETH, die zum Zeitpunkt des Schreibens über 1.4 Millionen Dollar wert waren. 
• Zahlreiche von Profanity generierte Vanity-Adressen wurden ebenfalls verwendet abgelassen von rund 1 Million Dollar in ETH in diesem Monat.