Ethereumネットワーク上で広く知られるMEVボット「Jaredfromsubway.eth」が、大規模なエクスプロイト(脆弱性攻撃)を受け、約1500万ドルの資産を流出させたことが明らかになりました。被害の発覚後、開発者は攻撃者に対し、資金の50%をホワイトハット報酬(善意のハッカーへの報酬)として提供する代わりに、48時間以内に残りの資金を返還するよう提案しています。返還に応じない場合は法的措置を講じる構えを示しており、自動化されたDeFi取引システムにおける新たなセキュリティリスクとして注目を集めています。
1500万ドルの資産流出と48時間の返還期限
被害を受けたJaredfromsubway.ethは、攻撃者に対して50%のホワイトハット取引を持ちかけました。この提案には48時間の期限が設けられており、期限内に資金が返還されない場合は、法的措置を取ると警告しています。流出金額は一部の初期報道で約750万ドルとも報じられましたが、開発者側の発表などによると、被害総額は約1500万ドル規模に達しているとされています。
ボットの自動取引ロジックを逆手に取った高度な攻撃
セキュリティ企業Blockaidなどの調査によると、今回のハッキングはスマートコントラクトの脆弱性や秘密鍵の流出、フィッシング詐欺によるものではないと報告されています。
攻撃者は、Wrapped Ether(WETH)、USD Coin(USDC)、Tether(USDT)を模倣した複数の偽トークンコントラクトや流動性プールを事前に構築し、ボットに対して有利な取引機会が存在するように見せかけました。ボットの自動実行システムはこれらを本物の取引ルートと誤認して取引を実行し、攻撃者が制御するコントラクトに対してトークンの承認(Approval)を与えてしまいました。攻撃者はこの未取り消しの承認を悪用し、ボットのウォレットから本物の資産を一括で引き出したとされています。
自動化システムのリスクと業界への影響
Jaredfromsubway.ethは、Ethereum上で「サンドイッチ攻撃」と呼ばれるMEV(最大抽出価値)手法を実行する最も有名なボットの一つとして知られており、過去に多額の収益を上げてきたとされています。
今回の事件は、スマートコントラクト自体に欠陥がなくても、自動化された取引ロジックや承認プロセスの隙を突かれることで、莫大な資金が流出するリスクがあることを示しています。Web3業界における自動取引システムのセキュリティ対策、特に未知のトークンや流動性プールに対する承認の管理において、重要な教訓を投げかける出来事となりました。
ポイント
- Ethereumの著名なMEVボットであるJaredfromsubway.ethが、約1500万ドルの資産を流出させるハッキング被害に遭いました。
- 開発者は攻撃者に対し、48時間以内に資金を返還すればその50%を報酬として認めるホワイトハット取引を提案し、拒否された場合は法的措置をとる意項を示しています。
- セキュリティ企業の調査では、秘密鍵の漏洩などではなく、ボットの自動取引ロジックを騙してトークンの承認を不正に取得するリバーストラップ攻撃が行われたとされています。
- 巨額の利益を上げてきた主要なボットが標的となり被害に遭ったことで、DeFiにおける自動化システムのセキュリティリスクが改めて浮き彫りになりました。