Recentemente, un incidente di rilievo ha scosso il mondo delle criptovalute. Un bot di trading su Ethereum, noto come JaredFromSubway, è stato vittima di una frode sapientemente orchestrata che è costata circa 13,5 milioni di euro (15 milioni di dollari) al suo operatore. Questa situazione mette in luce non solo le vulnerabilità dei sistemi automatizzati di trading, ma anche i rischi intrinseci del settore delle criptovalute.
Un robot di trading crypto rubato di 13,5 milioni di euro
Il bot JaredFromSubway era famoso per i suoi metodi di arbitraggio aggressivi, sfruttando le transazioni in attesa nella mempool di Ethereum per capitalizzare sulle fluttuazioni di prezzo. Utilizzando tecniche consolidate, come il sandwich, riusciva a generare profitti consistenti agendo prima e dopo transazioni mirate. Tuttavia, la sua rapidità di esecuzione, che doveva essere il suo principale punto di forza, si è rivelata la sua debolezza fatale.
Le modalità di sfruttamento dell’attaccante
Secondo un’analisi della società di sicurezza Blockaid, l’attacco contro JaredFromSubway è stato pianificato con meticolosità. In un primo momento, l’aggressore ha inviato transazioni innocue per osservare il funzionamento del bot, senza mobilitare fondi. Questo ha permesso di studiare come il bot validasse le opportunità e quali tipi di contratti approvasse.
Creazione di falsi token e pool
Una volta effettuato questo lavoro di ricognizione, l’attaccante ha messo in piedi falsi token e pool di liquidità che assomigliavano abbastanza a vere opportunità MEV da ingannare il bot. Validando questi falsi contratti, JaredFromSubway ha concesso all’attaccante permessi di spesa, permettendogli di drenare fondi senza destare sospetti immediati.
Le conseguenze dell’attacco
In totale, il contratto di JaredFromSubway è stato prosciugato di un’importante somma di 13,5 milioni di euro, equivalenti ad asset come il WETH, l’USDC e l’USDT. L’operatore del bot, rendendosi conto dell’ampiezza della perdita, ha offerto un premio per il recupero inizialmente fissato a circa 2,7 milioni di euro, prima di essere aumentato a 6,8 milioni di euro. Nonostante questi sforzi, nessuna risposta è stata ricevuta dall’attaccante.
Le implicazioni sulla sicurezza dei bot MEV
Questo tipo di incidente solleva questioni serie riguardo alla sicurezza dei bot MEV. Sebbene estremamente avanzati dal punto di vista tecnologico, questi strumenti rimangono esposti a attacchi che mirano a come funzionano piuttosto che a vulnerabilità software classiche. Quando i sistemi sono progettati per fidarsi ciecamente dei segnali di mercato, diventano vulnerabili a manipolazioni sapientemente orchestrate.
Discussioni in corso sull’etica del recupero
Mentre l’incidente ha rivelato lacune nei sistemi di sicurezza, ha anche messo in luce una dinamica più complessa: il fatto che l’operatore, che ha accumulato milioni “rubando” ad altri utenti in passato, sta ora tentando di recuperare i propri fondi tramite un premio. Sono in corso negoziati con attori che si presentano come hacker etici, ma fino ad ora non è stata trovata alcuna soluzione.
Conclusione sui rischi del settore
Questo dramma sottolinea non solo le vulnerabilità dei sistemi automatizzati di trading in crypto, ma anche le sfide più ampie che il settore deve affrontare. I rischi intrinseci all’uso di robot di trading evidenziano l’importanza di una vigilanza accresciuta e di una comprensione approfondita degli strumenti e dei meccanismi in gioco nell’ecosistema delle criptovalute. Per ulteriori informazioni sugli investimenti nelle criptovalute, puoi consultare questa guida completa.
