공격자는 자레드프롬서브웨이 MEV 봇에서 약 750만 달러를 탈취했습니다. 이 봇은 이더리움에서 가장 활발한 샌드위치 공격 시스템 중 하나입니다. 공격자는 봇이 절대 승인해서는 안 되는 토큰 지출을 승인하도록 속였습니다.
이 사건을 지적한 보안업체 블록에이드(Blockaid)는 봇이 스마트컨트랙트 결함, 피싱 공격, 개인키 유출 피해를 입지 않았다고 밝혔습니다. 대신, 공격자는 봇의 이익 추구 논리를 이용해 공격에 성공했습니다.
MEV 봇이 속은 과정
자레드프롬서브웨이 MEV 봇은 이더리움 멤풀을 자동으로 스캔하여 수익성 있는 거래를 찾는 전략을 실행합니다. 이 행위는 최대 추출 가능한 가치라고 불립니다.
이 봇은 앞서 거래를 선점하거나, 뒷거래를 이용해 가격 차이를 포착합니다. 이러한 전술을 샌드위치 공격이라고 부릅니다.
이 봇은 2023년 4월 악명이 높아졌습니다. 하루에 100만 달러 이상의 가스비를 소모하며 전체 이더리움 가스 지출의 약 8%에 달했습니다.
공격자는 여러 주 동안 66개의 위조 토큰 계약을 배포했습니다. 이 위조 계약들은 래핑드 이더(WETH), USD 코인(USDC), 테더(USDT)를 모방했습니다.
이 봇에게 이러한 계약들은 쫓아가야 할 경로로 보였습니다. 봇은 함정에 빠져 공격자가 제어하는 헬퍼 컨트랙트에 지출 승인을 해주었습니다. 단 한 번의 승인만으로 92 WETH 이상을 넘겼습니다.
마지막 계약은 이러한 허용 한도를 이용해 실제 자금을 봇에서 인출했습니다.
역(逆) MEV 함정
이 함정은 봇의 빠른 속도와 공격성을 약점으로 만들었습니다. MEV 봇 사냥은 새로운 일이 아닙니다. 2023년에는 악의적인 검증자가 약 2천5백만 달러를 MEV 샌드위치 봇에서 탈취한 바 있습니다.
“공격자가 제어하는 계약들이 자동화된 MEV 실행 시스템을 속여 토큰 승인을 넘기게 하고, 이후 자금을 탈취했습니다.” – 블록에이드(Blockaid)
이와 같은 샌드위치 공격은 일반 투자자에게 보이지 않는 세금으로 작용한다는 비판을 받아왔습니다.
봇 운영자는 피해액을 약 1천5백만 달러로 추산했습니다. 동시에 자금 반환 시 100만 달러의 현상금을 내걸었습니다. 블록에이드와 펙쉴드(PeckShield)는 온체인 탈취 금액을 대략 750만 달러 상당의 WETH, USDC, USDT로 평가했습니다.
운영자가 일부라도 자금을 회수할 수 있을지는 공격자가 해당 제안을 수락하느냐에 달려있습니다.
