Botul notoriu de „sandwich attack” Jaredfromsubway.eth, responsabil pentru 70% dintre astfel de atacuri pe Ethereum între noiembrie 2024 și octombrie 2025, a fost golit de peste 7,5 milioane de dolari de către un atacator care a exploatat sistemele automate ale acestuia.
Potrivit Blockaid, incidentul de sâmbătă s-a produs ca urmare a unor contracte controlate de atacator, care au păcălit sistemul automat de execuție MEV (maximal extractable value) al lui Jaredfromsubway.eth, determinându-l să aprobe tranzacții ce au fost ulterior folosite pentru a retrage fonduri. „Acesta nu este un atac de phishing clasic și nici o vulnerabilitate tradițională a unui contract inteligent în contractul victimei”, a precizat Blockaid pe X.
Acesta reprezintă un eșec rar pentru boții MEV precum Jaredfromsubway.eth, programe automate care monitorizează tranzacțiile neconfirmate pe rețelele blockchain și le manipulează ordinea pentru a extrage profit, un fel de „impozit invizibil” pentru utilizatorii DeFi. Cercetări anterioare ale Cointelegraph au relevat că „sandwich attacks” pe Ethereum au generat pierderi anuale de aproximativ 60 de milioane de dolari pentru traderi. Totodată, între noiembrie 2024 și octombrie 2025, au existat între 60.000 și 90.000 de astfel de atacuri lunar, aproximativ 70% dintre ele fiind asociate cu Jaredfromsubway.eth.
Cum a fost exploatat Jaredfromsubway.eth:
„Acesta a fost un atac de tip ‘counter-MEV honeypot’, vizând în mod specific logica automată, cu minimă încredere, pe care boții MEV o utilizează”, a declarat Raz Niv, director de tehnologie la Blockaid, pentru Cointelegraph. Pe parcursul mai multor săptămâni, atacatorul a implementat 66 de contracte de token-uri false, imitând numele și interfețele Wrapped ETH (WETH), USDC (USDC) și USDt (USDT), și le-a asociat cu pool-uri de lichiditate false. Acestea au fost concepute să pară tranzacții profitabile, genul pe care boții MEV sunt programați să le urmărească. Acest lucru l-a determinat pe botul lui Jaredfromsubway să facă ceea ce era programat să facă: să aprobe contracte auxiliare controlate de atacator pentru a cheltui bani reali în numele său. „În mod ironic, în acest proces, atacatorul a obținut cheile către milioane din trezoreria botului”, a adăugat el. „Apoi, într-o singură tranzacție, atacatorul a apelat toate cele 66 de uși din spate și a sustras tot ETH, USDC și USDT din aceste adrese, însumând milioane de dolari.” O parte din fondurile furate au fost deja trimise către serviciul de amestecare a criptomonedelor Tornado Cash, conform datelor on-chain.
În luna mai, Vitalik Buterin, co-fondator al Ethereum, a fost victima unui „sandwich attack” orchestrat de Jaredfromsubway.eth în timp ce schimba 26.544 de DigitalBits (evaluați la 2,11 dolari la momentul respectiv). Pierderile au fost minime, dar demonstrează că chiar și cele mai mici tranzacții pot fi ținte pentru boții MEV. „Nu ar trebui să fim bucuroși de acest lucru; nimeni nu ar trebui să sărbătorească... dar dacă ați fost vreodată victima unui astfel de atac, sunt destul de sigur că nu sunteți supărați de această veste”, a declarat investitorul și comentatorul crypto David Gokhshtein.