coin-img-ETHETH-0.40%coin-img-BTCBTC+0.29%coin-img-SOLSOL+2.91%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.03%coin-img-TRXTRX+0.40%coin-img-DOGEDOGE-0.45%coin-img-SUISUI-0.01%coin-img-ETHETH-0.40%coin-img-BTCBTC+0.29%coin-img-SOLSOL+2.91%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.03%coin-img-TRXTRX+0.40%coin-img-DOGEDOGE-0.45%coin-img-SUISUI-0.01%coin-img-ETHETH-0.40%coin-img-BTCBTC+0.29%coin-img-SOLSOL+2.91%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.03%coin-img-TRXTRX+0.40%coin-img-DOGEDOGE-0.45%coin-img-SUISUI-0.01%coin-img-ETHETH-0.40%coin-img-BTCBTC+0.29%coin-img-SOLSOL+2.91%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.03%coin-img-TRXTRX+0.40%coin-img-DOGEDOGE-0.45%coin-img-SUISUI-0.01%

7,5 Mio. US-Dollar Verlust: Jaredfromsubway-Exploit rückt DeFi-Sicherheitsrisiken in den Fokus

Am 20. Juni wurde der MEV-Bot Jaredfromsubway.eth kompromittiert. Der Vorfall führte zu Verlusten von insgesamt 7,5 Mio. US-Dollar. Nach bisherigem Stand legte der Angreifer zunächst einen Token (Wrapper) sowie einen Liquidity Pool an, die eine besonders profitable Gelegenheit vortäuschten. Als der Bot mit dieser "Opportunity" interagierte, gelang es dem Angreifer, die Handelslogik des Bots manipulativ zu verändern. Dadurch wurden MEV-Bots dazu gebracht, Freigaben automatisiert zu erteilen. Das vom Angreifer kontrollierte Contract erhielt so eine dauerhafte Berechtigung (Approval), um Mittel abzuziehen. Zu den abgeflossenen Beständen zählten 1.583 Ethereum (ETH), 2,87 Mio. USD Coin (USDC) und 2,09 Mio. Tether (USDT). Später wurden die Assets gebündelt und in 4.427 ETH getauscht, was die weitere Verschleierung erleichterte und die Fragmentierung der Beute reduzierte. Kurz darauf flossen mehrere identische Transfers über jeweils 100 ETH an Tornado Cash. Pro Einzahlung entsprach das rund 172.000 US-Dollar. Kleinere, standardisierte Einzahlungen erschweren in der Praxis die Nachverfolgung durch Behörden. Mit zunehmender Geldwäsche-Aktivität gelangten mindestens 1.000 ETH in Tornado Cash. Die Transaktionsmuster deuten darauf hin, dass der Fokus des Angreifers von der Extraktion zur Verschleierung wechselte. Ermittler verfolgen nun insbesondere die Versuche, die Onchain-Spur zu brechen und die Rückholung der Mittel zu erschweren. Der Fall trifft auf einen Markt, in dem MEV-Bots ihren Einfluss weiter ausbauen. Automatisierte Systeme haben sich in den vergangenen Jahren zu Ausführungsmaschinen in Milliardenhöhe entwickelt, die Gelegenheiten über mehrere Blockchains hinweg identifizieren und umsetzen, darunter Ethereum (ETH), Solana (SOL) und Layer-2-Netzwerke. Mit der Kapitalbündelung in dieser Infrastruktur steigen die operativen Risiken. Auffällig an diesem Exploit: Nicht eine klassische Smart-Contract-Schwachstelle stand im Mittelpunkt, sondern die Token-Freigaben, die im Bot-Workflow verankert sind. Angreifer zielen damit zunehmend auf Zugriffsrechte und Prozesse statt auf reine Programmierfehler. Obwohl es in der Vergangenheit zahlreiche Exploits mit Verlusten in dreistelliger Millionenhöhe gab, bleiben Widerrufe von Berechtigungen (Revocations) weiterhin selten. Fazit: Der 7,5-Mio.-US-Dollar-Exploit bei Jaredfromsubway zeigt, wie stark Workflows und Permission-Management zu einem zentralen Sicherheitsrisiko in DeFi geworden sind. Mit der wachsenden Kapital konzentriert in MEV-Infrastruktur steigen die Folgen operativer Fehlfunktionen in Onchain-Märkten deutlich.
Ausgewählt
ETH
ETH-0.40%
USDC
USDC+0.03%
Haftungsausschluss: Die obigen Inhalte geben lediglich die Meinung des Autors wieder und spiegeln nicht die Haltung von BingX wider. Sie stellen keine Anlageberatung durch BingX dar. Details finden Sie in den Geschäftsbedingungen.