- Um bot MEV perdeu cerca de US$ 180.000 em Ether depois que um invasor explorou uma vulnerabilidade em seus sistemas de controle de acesso
- O ataque ocorreu quando o bot realizou uma troca de ETH por um token falso
- Mesmo com a polêmica em torno dos bots MEV, sua popularidade segue alta
Um bot de Maximal Extractable Value (MEV) perdeu aproximadamente US$ 180 mil em Ethereum após um atacante explorar uma falha nos controles de acesso do sistema. O incidente foi reportado pela empresa de segurança blockchain SlowMist no dia 8 de abril. O ataque ocorreu quando o bot realizou uma troca de ETH por um token falso, tudo dentro da mesma transação. A falha reforça os riscos crescentes no uso de bots MEV, principalmente por usuários iniciantes que se baseiam em tutoriais fraudulentos para configurar sistemas complexos.
Falha em controle de acesso permitiu ataque com criação de pool malicioso
De acordo com o pesquisador de ameaças Vladimir Sobolev, conhecido como Officer’s Notes, o ataque foi possível devido à ausência de mecanismos rígidos de controle de acesso no código do bot. O invasor conseguiu inserir um pool malicioso na mesma transação e forçou o bot a realizar a troca de seus 116,7 ETH por um token sem valor.
🚨SlowMist Security Alert🚨
We have detected that a MEV bot 0x49e27d11379f5208cbb2a4963b903fd65c95de09 has lost 116.7 ETH due to the lack of access control.https://t.co/zuCA2XP2mn
As always, stay vigilant!
— SlowMist (@SlowMist_Team) April 8, 2025
Apenas 25 minutos após o ataque, o proprietário do bot tentou negociar com o invasor oferecendo uma recompensa. Em seguida, ele lançou uma nova versão do bot com validação aprimorada nos acessos. Sobolev comparou o caso com um incidente de abril de 2023, no qual bots MEV perderam cerca de US$ 25 milhões ao interagir com um validador mal-intencionado.
Tutoriais falsos sobre bots MEV expõem iniciantes a golpes e perdas financeiras
Mesmo com a polêmica em torno dos bots MEV, sua popularidade segue alta. Esses bots monitoram transações pendentes na rede Ethereum e realizam estratégias como front-running, back-running e sandwich attacks para capturar valor.
Entretanto, Sobolev alertou para o aumento de tutoriais falsos que ensinam usuários a configurar bots MEV. Esses conteúdos, muitas vezes, inserem instruções maliciosas que permitem o roubo direto de fundos. O pesquisador recomendou que usuários verifiquem cuidadosamente a fonte de qualquer material antes de seguir instruções técnicas, especialmente em áreas sensíveis como contratos inteligentes e trading automatizado.
O caso serve como alerta para a importância da segurança no desenvolvimento de aplicações descentralizadas. Também ressalta a necessidade de auditorias independentes e maior conscientização sobre os riscos associados à automação de estratégias financeiras em ambientes cripto.
