今週日曜日、Ethereumブロックチェーン上の最大規模のサンドイッチボットから、正体不明の攻撃者によって約750万ドルが盗まれた [1]。
今回のエクスプロイトは、最大抽出価値(MEV)戦略に内在するリスクを浮き彫りにした。他のトレーダーから利益を得るように設計されたボット自体が、同様の手法による標的となる可能性があるということだ。
Jaredfromsubway.ethが運用していたこのボットからは、WETH、USDC、USDTが組み合わせて流出した [1]。報告によると、攻撃者は窃盗を実行するために「カウンターMEVトラップ」を用いたという [2]。この手法では、ボットに偽の取引ルートを承認させるよう仕向け、攻撃者がその承認を利用してボットのウォレットから資金を抜き出す権限を得た [1]。
通常、サンドイッチボットはEthereumのmempoolにある保留中のトランザクションを特定し、その前後に注文を出すことで、結果として生じる価格スリッページから利益を得る仕組みで動作する。今回のケースでは、攻撃者がボット自身の承認メカニズムを悪用し、この動態を逆転させた形となった [2]。
総損失額は750万ドルと推定されている [1], [2]。この事件はオンチェーンで発生したため、トランザクションはEthereumの台帳に永久に記録されているが、攻撃者の身元は依然として不明である。
今回の出来事は、著名なMEVボットにとってこれまでで最大級の損失となった。これは、承認プロトコルが十分に保護されていない場合、いかに洗練された自動取引ツールであっても、ロジックエラーや欺瞞的な入力に対して脆弱である可能性があることを示している [2]。
“正体不明の攻撃者が、Ethereumブロックチェーン上の最大規模のサンドイッチボットから約750万ドルを盗み出した。”
このエクスプロイトは、EthereumのMEVエコシステムにおける「捕食者が獲物になる」というダイナミクスを象徴している。カウンターMEVトラップを用いることで、攻撃者はボットの自動承認プロセスを弱点へと変えた。これは、自動取引戦略が進化するにつれ、取引アルゴリズムそのものと同様に、それらを制御するスマートコントラクトや承認ロジックのセキュリティが極めて重要になることを示唆している。
