读到一个有趣的链上往事，mev bot前脚刚夹走100w u，后脚就被黑客偷家了，1100个ETH全部被撸走🤣👇：

2022年eth上的一名用户使用180w u的cUSDC兑换USDC，却被著名mev bot 0xBAD夹走了100w u+，只收到了500 USDC。

然而不久后另一个黑客地址（0xb9f7）发现了0xBAD的合约漏洞，在使用DYDX的闪电贷时协议会回调一个“callFunction”函数，而这个mev bot似乎是因为没有正确鉴权导致黑客通过调用这个函数使得攻击合约得到授权，并把0xBAD的所有1100个ETH全部转走。

最戏剧性的是0xBAD被黑后还试图威胁黑客，在链上发了一条消息：

“
恭喜你，我们一时疏忽让你得手了，这确实不容易察觉。我们希望在此事上与你合作解决。请在 9 月 28 日 GMT 时间 23:59 之前将资金退回0x19603D249DF53d8b1650c762c4dF31f013Dce840，我们将视此为白帽行为，并给予你追回金额 20%的漏洞赏金，支付方式由你决定。若届时资金未归还，我们将别无选择，只能动用一切力量与相关当局合作追回资金。
”

然而最终只收到了对方的嘲讽：
“
对于那些被你们进行 MEV 攻击并实际上遭受损失的普通用户，你们会归还他们的资产吗？请在 9 月 28 日 GMT 时间 23:59 前将资金全额退还给所有受影响用户，我们将视此举为白帽行为。作为善意的表示，我们将返还追回总额的 1%作为酬金，支付方式可由你们自行决定。若逾期未归还，我们将不得不动用一切手段联合相关主管部门追回资金。
”

——链上是黑暗森林，code is law，出来混迟早是要还的。
source: