PANews 6월 21일 소식, MEV 봇 개발자 JaredFromSubway.eth가 게시글을 통해 자신이 개발한 MEV 봇이 해킹을 당해 약 1,500만 달러 상당의 자산이 탈취되었다고 밝혔다. 그는 전액 자금 반환을 조건으로 100만 달러의 공개 현상금을 내걸었으며, 완전한 기밀 유지와 안전한 반환을 약속했다. 또한 이는 합법적이고 시간이 촉박한 현상금임을 강조하며 해커에게 비공개 연락을 촉구했다.

보안 업체 Blockaid에 따르면, 공격자는 가짜 토큰 래퍼(wrapper)와 유동성 풀을 구성하여 피해자의 자동화된 MEV 실행 시스템이 공격자가 통제하는 컨트랙트에 토큰 승인을 부여하도록 유도했다. 이후 공격자는 철회되지 않은 승인을 이용해 transferFrom을 통해 해당 봇이 보유한 WETH, USDC, USDT 등의 자산을 탈취했다. Blockaid는 이번 사건이 전통적인 피싱 공격이 아니며, 피해 컨트랙트 자체에 스마트 컨트랙트 취약점이 있었던 것도 아니라고 밝혔다. 대신 공격자가 해당 봇의 자동 차익 거래 기회 식별 및 승인 생성 메커니즘의 결함을 악용한 것이라고 설명했다.