Un arbitrage trading bot su Ethereum è riuscito a fare il colpaccio... per poi perdere tutto poco dopo a causa di un attacco hacker.

Robert Miller della società di ricerca Flashbots ha scritto su Twitter di come un bot Maximal Extractable Value (MEV), con il prefisso 0xbadc0de, fosse stato in grado di guadagnare 800 Ether (ETH), ovvero circa un milione di dollari, attraverso operazioni di arbitraggio.

Il ricercatore ha spiegato che il bot è riuscito a sfruttare un'enorme opportunità di arbitraggio, che si è palesata quando un trader ha tentato di vendere 1,8 milioni di cUSDC tramite l'exchange decentralizzato Uniswap v2, ottenendo in cambio soltanto 500$ di asset. Il bot è subito entrato in azione, generando enormi profitti.

Tuttavia, soltanto un'ora dopo un hacker è riuscito a sfruttare una vulnerabilità nel codice del bot 0xbadc0de, prosciugando completamente il suo bilancio di 1.101 ETH, pari a oltre 1,4 milioni di dollari:

"Un bot MEV molto redditizio, chiamato internamente '0xbad', è stato in qualche modo ingannato/hackerato. Questo ha causato una perdita di 1.101 ETH (circa 1,45 milioni di dollari) nella transazione successiva: etherscan.io."

Secondo la società di sicurezza PeckShield, il bug potrebbe essere stato causato dalla routine di callback del bot, sfruttata dall'hacker per approvare una transazione verso un indirizzo arbitrario.

Il 18 settembre un hacker ha individuato una vulnerabilità in Profanity, un generatore di vanity address su Ethereum, prosciugando 3,3 milioni di dollari da vari wallet. Le indagini condotte dall'aggregatore di exchange decentralizzati 1inch Network hanno evidenziato alcune ambiguità nella creazione dei vanity address: l'azienda ha pertanto consigliato agli utenti di trasferire i propri fondi altrove.

Circa una settimana più tardi, un altro vanity address è stato hackerato e prosciugato di quasi un milione di dollari in ETH. Dopo aver rubato i fondi, gli hacker li hanno immediatamente inviati al mixer di criptovalute Tornado Cash.