El bot MEV gana $1 millón, pero acaba perdiéndolo todo, una hora después, ante el ataque de un hacker que aprovechó un error en el código del bot,
El robot MEVbot gana $1 millón
MEVbot es un bot de arbitraje de Ethereum que logró ganar el premio gordo y perderlo todo el mismo día en un irónico giro de los acontecimientos en finanzas descentralizadas (DeFi).
En un hilo de Twitter, Robert Miller, que trabaja en la firma de investigación Flashbots, compartido cómo un bot de valor extraíble máximo (MEV) con el prefijo 0xbadc0de fue capaz de ganar 800 Ether (ETH), alrededor de $ 1 millón, a través de operaciones de arbitraje.
Según Miller, el bot aprovechó una gran oportunidad de arbitraje que surgió cuando un comerciante intentó vender $ 1.8 millones en cUSDC a través del intercambio descentralizado (DEX) Uniswap v2 y solo obtuvo $ 500 en activos a cambio. El bot detectó esta oportunidad e inmediatamente se puso en acción y obtuvo ganancias masivas.
Sin embargo, solo una hora después, un pirata informático explotó una vulnerabilidad en el «código incorrecto» de 0xbadc0de y lo engañó para que autorizara una transacción que agotó su saldo de 1101 ETH, que era de alrededor de $ 1,41 millones en el momento de escribir este artículo.
#MEV Un bot MEV muy rentable, denominado internamente como 0xbad, fue engañado/pirateado de alguna manera con una pérdida de 1101 ETH (~$1,45 millones) en el siguiente tx: https://t.co/FxXSY8AyhX
— PeckShield Inc. (@peckshield) 27 de septiembre de 2022
Según la firma de seguridad de blockchain PeckShield, el error se remonta a la rutina de devolución de llamada del bot, y esto fue explotado por el pirata informático para aprobar una dirección arbitraria para el gasto.
Relacionado: MEVbots roba los fondos de Ethereum
El 18 de septiembre, se explotó una vulnerabilidad en Profanity, un generador de direcciones personalizadas de Ethereum, drenando $ 3.3 millones en fondos de varias billeteras. Las investigaciones realizadas por el agregador de intercambio descentralizado (DEX) 1inch Network destacaron que había ambigüedad en términos de la creación de las billeteras. El DEX advirtió a los usuarios que sus billeteras estaban en riesgo y los instó a transferir sus activos.
Más de una semana después, se explotó otra dirección de monedero personalizado y drenado de casi $ 1 millón valor de ETH. Después de robar los fondos, los piratas informáticos los enviaron de inmediato al controvertido mezclador de criptografía Tornado Cash.