Опираясь на данные обозревателя блокчейнов Еtherscan, представитель маркетмейкера Wintermute Джозеф Плаза (Joseph Plaza) предположил, что хакер создал транзакции-приманки, чтобы заманить ботов MEV.
Затем злоумышленник заменил первоначальные транзакции-приманки новыми, вредоносными, что позволило украсть средства. Чтобы подготовиться к атаке, преступник за 18 дней до инцидента внес в пул стейкинга Эфириума 32 ETH и стал валидатором.
Плаза добавил, что, вероятно, злоумышленник, дождался своей очереди предложить блок в качестве валидатора, что и стало началом атаки. Впоследствии он реорганизовал содержимое блока и создал новый блок, содержащий злонамеренные транзакции для кражи активов.
В результате «валидатор-хакер» смог украсть 7 461 WETH ($13,4 млн), 5,3 млн USDC, 3 млн USDT и 65 WBTC ($1,8 млн)
Первым об инциденте сообщил в Твиттере разработчик смарт-контрактов под псевдонимом 3155.eth. Впоследствии эксперты компании PeckShield смогли отследить украденные активы до трех адресов Эфириума, объединенных с восемью другими адресами.
Команда разработчика основного программного обеспечения блокчейна Эфириума MEV-Boost заявила о внесении экстренных исправлений, чтобы предотвратить подобные инциденты в будущем.
В частности, в MEV-Boost была добавлена функция, которая инструктирует ретрансляторов публиковать подписанный блок перед передачей содержимого. Это позволит снизить вероятность того, что злоумышленник предложит в MEV-Boost блок, который отличается от того, что он получил от ретранслятора.
Ранее на портале Bits.media вышел развернутый разбор причин и следствий сопровождающих хакерские атаки PoS-блокчейн-решений.