Cel mai mare bot de "sandwich" din Ethereum, cunoscut sub numele de jaredfromsubway.eth, a fost golit de peste 7,5 milioane de dolari printr-un atac inteligent care a exploatat propria sa logică automată de tranzacționare. Spre deosebire de exploatările tradiționale bazate pe erori de contract sau înșelătorii de tip phishing, atacatorul a reușit să manipuleze bot-ul prin contracte auxiliare malițioase, simulate prin token-uri și pool-uri de lichiditate false.
Pe parcursul mai multor săptămâni, atacatorul a atras bot-ul jaredfromsubway.eth să aprobe contracte auxiliare false, care mimau active populare precum WETH, USDC și USDT. Odată ce aceste aprobări au fost obținute, atacatorul le-a folosit pentru a retrage fonduri și a le direcționa parțial prin Tornado Cash. Acest incident subliniază nu doar amploarea, ci și riscurile inerente ale activității industrializate a bot-urilor de sandwich.
Bot-ul jaredfromsubway.eth a fost responsabil pentru aproximativ 70% din atacurile de tip sandwich pe Ethereum, costând traderii aproximativ 60 de milioane de dolari anual. Incidentul demonstrează cum sistemele care operează la viteza mașinii și se bazează pe recunoașterea de tipare pot deveni ele însele victime.
Atacurile de tip sandwich sunt o formă de Maximal Extractable Value (MEV), unde un trader automatizat detectează o tranzacție în curs, cumpără înainte, permite victimei să tranzacționeze la un preț mai prost, apoi vinde imediat după. Acest proces introduce o "taxă ascunsă" pentru utilizatori, care se acumulează rapid.
Deși aceste atacuri nu sunt considerate un "exploit" tradițional, ele sunt văzute în comunitatea cripto ca o formă de comportament prădător, care diminuează valoarea pentru utilizatori, crește taxele de gaz și nu aduce beneficii rețelei sau utilizatorilor. Firma de securitate Blockaid a confirmat că incidentul nu a fost un atac de phishing obișnuit sau o simplă eroare de contract.
Atacatorul și-a construit strategia pe parcursul mai multor săptămâni, lansând zeci de contracte false de token-uri și pool-uri de lichiditate. Acestea au fost concepute să pară oportunități de tranzacționare profitabile. Bot-ul jaredfromsubway.eth, căutând să maximizeze profiturile, a generat aprobări pentru contractele auxiliare controlate de atacator, permițându-le acestora să cheltuiască token-uri în numele său. Ulterior, atacatorul a creat rute de tranzacționare unde aprobările rămâneau active, oferindu-i permisiunea permanentă de a retrage fonduri.
Ironia situației este remarcabilă. Jaredfromsubway.eth a fost un simbol proeminent al "MEV-ului toxic" pe Ethereum. Statisticile arată că atacurile de tip sandwich costă traderii aproximativ 60 de milioane de dolari pe an, cu zeci de mii de atacuri lunar. Aproximativ 70% dintre acestea au fost asociate cu jaredfromsubway.eth, activ din 2023. În mod ironic, același bot a fost implicat anterior într-un atac de tip sandwich chiar și asupra unei tranzacții mici a co-fondatorului Ethereum, Vitalik Buterin, obținând un profit minim, dar demonstrând cât de "industrializat" devenise bot-ul.
Deși acest incident nu diminuează pericolul atacurilor de tip sandwich, el scoate în evidență riscurile operării sistemelor care aprobă tranzacții la viteza mașinii, bazate pe recunoașterea de tipare și semnale de profit. Jaredfromsubway.eth a profitat ani de zile de pe urma traderilor neatenți, dar în acest weekend, bot-ul însuși nu a anticipat "atacatorul".