Des bots MEV victimes d’un hacking à hauteur de 25 millions de dollars

Souvent présents sur les plateformes à smart contracts, les bots sont tout aussi vulnérables aux défaillances. Les hackers n’hésitent donc pas à exploiter ces failles pour commettre leurs méfaits, comme dans le cas des bots MEV d’Ethereum. En effet, cette attaque a entraîné une perte de plus 25 millions de dollars.

Une perte de 25 millions de dollars pour les bots MEV

Par définition, la MEV (Maximum Extractible Value) est une discipline par laquelle les transactions d’un bloc sont arrangées. Et ce, dans le but d’optimiser le gain réalisé au sein dudit bloc. 

Cet écosystème est essentiellement composé de bots caractérisés d’arbitrages pour les honnêtes et de sandwich pour les malhonnêtes. Pour mener à bien leur stratégie, les bots disposent généralement d’une somme d’argent importante. 

C’est alors dans la somme d’argent dont disposaient les bots MEV d’Ethereum qu’un hacker a dérobé 25 millions de dollars. Selon les analyses de la société PeckShield, les actifs volés auraient été stockés dans trois différentes adresses d’Ethereum.

Il pourrait s’agir d’une attaque planifiée, car, l’OtterSec a expliqué que l’attaquant a déposé 32 ETH pour devenir validateur en 18 jours avant le hack. Autrement dit, le hacker s’est fait validateur pour pouvoir voler les fonds.

Une défaillance sur MEV-BOOST corrigée

Il a été découvert que ce piratage a pu avoir lieu du fait d’une faille sur le logiciel MEV-Boost. Ce logiciel a été conçu par la société Flashbots. De ce fait, son équipe n’a donc pas tardé à proposer une solution pour éviter ces incidents à l’avenir.

Ainsi, elle a instauré une fonction qui exige des relayers, un intermédiaire de confiance entre les constructeurs de blocs et les validateurs. Cette technique permettra la publication d’un bloc signé avant que son contenu soit transmis à un proposant. De fait, un proposant malhonnête ne pourra proposer un bloc déviant ce qu’il a reçu d’un relai.

Par ailleurs, l’entreprise Flashbot propose un programme de bug bounty allant jusqu’à 25 000 dollars pour une faille critique. Parallèlement, les équipes de Flashbot avaient révélé des solutions contre la censure sur Ethereum en fin 2022. C’est le cas, par exemple, du projet SUAVE.