Récemment, un incident marquant a secoué le monde des cryptomonnaies. Un bot de trading sur Ethereum, connu sous le nom de JaredFromSubway, a été victime d’une arnaque savamment orchestrée qui a coûté environ 13,5 millions d’euros (15 millions de dollars) à son opérateur. Cette situation met en lumière non seulement les vulnérabilités des systèmes automatisés de trading, mais également les risques inhérents au secteur des cryptomonnaies.
Un robot de trading crypto dérobé de 13,5 millions d’euros
Le bot JaredFromSubway était réputé pour ses méthodes d’arbitrage agressives, exploitant les transactions en attente dans la mempool d’Ethereum pour tirer parti des fluctuations de prix. En utilisant des techniques éprouvées, telles que le sandwich, il parvenait à générer des profits considérables en agissant avant et après des transactions ciblées. Toutefois, sa rapidité d’exécution, qui était censée être son principal atout, s’est avérée être sa faiblesse fatale.
Les méthodes d’exploitation de l’attaquant
Selon une analyse de la société de sécurité Blockaid, l’attaque contre JaredFromSubway a été planifiée méticuleusement. Dans un premier temps, l’assaillant a soumis des transactions inoffensives pour observer le fonctionnement du bot, sans mobiliser de fonds. Cela a permis d’étudier comment le bot validait les opportunités et quels types de contrats il approuvait.
Création de faux tokens et pools
Une fois ce travail de reconnaissance effectué, l’attaquant a mis en place de faux tokens et des pools de liquidité qui ressemblaient suffisamment à de réelles opportunités MEV pour tromper le bot. En validant ces faux contrats, JaredFromSubway a accordé à l’attaquant des permissions de dépense, l’autorisant ainsi à siphonner des fonds sans éveiller de soupçons immédiats.
Les conséquences de l’attaque
Au total, le contrat de JaredFromSubway a été drainé d’un montant faramineux de 13,5 millions d’euros, équivalent à des actifs tels que le WETH, l’USDC et l’USDT. L’opérateur du bot, réalisant l’ampleur de la perte, a proposé une prime de récupération qui a d’abord été fixée à environ 2,7 millions d’euros, avant d’être portée à 6,8 millions d’euros. Malgré ces efforts, aucune réponse n’a été reçue de la part de l’attaquant.
Les implications sur la sécurité des bots MEV
Ce type d’incident soulève des questions sérieuses concernant la sécurité des bots MEV. Bien qu’extrêmement avancés technologiquement, ces outils restent exposés à des attaques qui s’attaquent à la manière dont ils fonctionnent plutôt qu’à des failles logicielles classiques. Lorsque les systèmes sont conçus pour faire confiance aveuglément aux signaux du marché, ils deviennent vulnérables à des manipulations soigneusement orchestrées.
Des discussions en cours sur l’éthique de la récupération
Alors que l’incident a révélé des lacunes dans les systèmes de sécurité, il a également mis en lumière une dynamique plus complexe : le fait que l’opérateur, qui a accumulé des millions en « volant » d’autres utilisateurs dans le passé, tente maintenant de récupérer ses fonds par le biais d’une prime. Des négociations sont en cours avec des acteurs se présentant comme des hackers éthiques, mais jusqu’à présent, aucune solution n’a été trouvée.
Conclusion sur les risques du secteur
Ce drame souligne non seulement les vulnérabilités des systèmes automatisés de trading en crypto, mais aussi les défis plus vastes auxquels le secteur est confronté. Les risques inhérents à l’utilisation de robots de trading soulignent l’importance d’une vigilance accrue et d’une compréhension approfondie des outils et des mécanismes en jeu dans l’écosystème des cryptomonnaies. Pour en savoir plus sur l’investissement dans les cryptomonnaies, vous pouvez consulter ce guide complet.
