Os bots MEV (sigla inglesa para Valor Máximo Extraível) são conhecidos por suas estratégias de antecipação. Ou seja, eles analisam transações que ainda não foram confirmadas pela rede e, caso sejam lucrativas, enviam sua própria transação com uma taxa maior para que ela seja incluída na frente das outras.
Sendo assim, tais bots conseguem aproveitar oportunidades de arbitragem em protocolos de finanças descentralizadas (DeFi), por exemplo, tomando o lucro que deveria ser de outro investidor.
No entanto, um grupo planejou um ataque a estes bots por semanas até colocá-lo em prática neste domingo (2). No total, as perdas chegam ao equivalente de R$ 126 milhões.
Hackers roubam bots MEV no Ethereum
Em suma, os hackers se tornaram um validador do Ethereum, ou seja, um minerador, tendo maior poder na montagem do bloco. Na sequência, criaram uma transação que serviu de isca para os bots MEV. E eles morderam.
Em outras palavras, os atacantes usaram a mesma tática dos bots de reorganizar as transações de um bloco, mas com uma abordagem diferente.
“O MEV executou um ataque de sanduíche no qual eles executam e depois revertem uma transação para lucrar”, explicou a empresa de segurança CertiK. “O validador desonesto antecipou a transação de back-run do MEV.”
Como resultado, tal bot perdeu mais de US$ 25 milhões (R$ 126 milhões) em criptomoedas. Em detalhe, a CertiK aponta que foram US$ 1,8 milhão em WBTC, US$ 5,3 milhões em USDC, US$ 3 milhões em USDT, US$ 1,7 milhões em DAI e, por fim, US$ 13,5 milhões em WETH.
Ataque mostra falhas no Ethereum, mas comunidade defende os atacantes
Dados on-chain mostram que o validador malicioso planejou o ataque por no mínimo três semanas. Como notado pela CertiK, “a vulnerabilidade se deu principalmente à centralização do poder nos validadores.”
No entanto, a comunidade está defendendo os atacantes. Como exemplo, muitos deles comentam que os bots MEV é quem são os verdadeiros ladrões.
“Todos aqueles golpistas de flashbots sendo destruídos porque seu bot foi sanduichado. Quem é o ladrão? O ladrão? Ou o ladrão que rouba do ladrão?”
“Sempre há um peixe maior”, comentou outro. “Isso pode mudar a forma como vemos flashbots e PBS privados para sempre.”
Ou seja, independente de quem esteja sendo defendido ou atacado, a questão é que esse caso pode trazer novas melhorias para o Ethereum. Como mencionado acima, retirar o poder de seleção das transações pelo criador do bloco pode tornar tal criptomoeda mais segura e descentralizada.
