- Un attaquant a siphonné plus de 7,5 millions de dollars du tristement célèbre bot MEV Ethereum jaredfromsubway.eth en exploitant sa logique de trading automatisée, plutôt qu'un bug de contrat classique ou une arnaque par hameçonnage.
- Sur plusieurs semaines, l'attaquant a attiré le bot à approuver des contrats auxiliaires malveillants via de faux tokens et des pools de liquidité imitant des actifs tels que WETH, USDC et USDT, puis a utilisé ces approbations ouvertes pour retirer des fonds et en acheminer une partie via Tornado Cash.
- L'incident souligne à la fois l'ampleur et les risques de l'activité industrialisée des Sandwich Bots — jaredfromsubway.eth est responsable d'environ 70 % des attaques sandwich sur Ethereum, qui coûtent aux traders environ 60 millions de dollars par an — en montrant comment des systèmes à vitesse machine et basés sur la reconnaissance de schémas peuvent eux-mêmes devenir des victimes.
Jaredfromsubway.eth, l'un des bots MEV les plus infâmes d'Ethereum, a été vidé de plus de 7,5 millions de dollars après qu'un attaquant a retourné la propre logique de trading automatisée du bot contre lui.
Le bot est connu pour les attaques sandwich, une forme de valeur extractible maximale, ou MEV, dans laquelle un trader automatisé repère une transaction en attente, achète avant elle, laisse la victime trader à un prix moins favorable, puis revend immédiatement après.
Il en résulte une petite taxe cachée sur les utilisateurs qui peut s'accumuler sur des milliers de transactions.
Les attaques sandwich ne constituent généralement pas une forme d'exploit, mais sont perçues dans les cercles crypto comme un type de comportement prédateur, qui siphonne la valeur des utilisateurs, entraîne une hausse des frais de gas et ne bénéficie ni au réseau ni à l'utilisateur.
La société de sécurité Blockaid a indiqué que l'incident de samedi n'était pas une attaque par hameçonnage classique ni un simple bug dans le contrat victime. L'attaquant a plutôt ciblé le système de prise de décision du bot.
Le dispositif a été mis en place sur plusieurs semaines, au cours desquelles l'attaquant a déployé des dizaines de faux contrats de tokens et de faux pools de liquidité — terme désignant un ensemble de tokens verrouillés sur un exchange décentralisé — qui ressemblaient à des transactions rentables. Certains imitaient des actifs familiers tels que le wrapped ether (WETH) et les stablecoins indexés sur le dollar USDC et USDT.
L'appât a fait son effet. Le bot de jaredfromsubway.eth a détecté ce qui ressemblait à des opportunités MEV et a généré des approbations pour des contrats auxiliaires contrôlés par l'attaquant afin de dépenser des tokens en son nom. Ces approbations ont été utilisées immédiatement dans le cadre de la transaction lors des premiers tests, mais plus tard, l'attaquant a créé des routes où les approbations restaient ouvertes.
Cela a laissé à l'attaquant une autorisation permanente de retirer des fonds. Et il a utilisé ces approbations ouvertes pour transférer WETH, USDC et USDT hors des contrats de jaredfromsubway.eth, siphonnant plus de 7,5 millions de dollars.
Une partie des fonds volés a ensuite été envoyée vers Tornado Cash, selon les données onchain consultées par CoinDesk.
L'ironie était difficile à manquer, par ailleurs.
Jaredfromsubway.eth est depuis longtemps l'un des symboles les plus visibles du MEV toxique sur Ethereum. Les attaques sandwich coûtent aux traders Ethereum environ 60 millions de dollars par an, avec 60 000 à 90 000 attaques par mois entre novembre 2024 et octobre 2025.
Environ 70 % de ces attaques étaient associées à jaredfromsubway.eth, actif depuis début 2023.
CoinDesk avait rapporté en mai que le même bot avait même effectué une attaque sandwich sur un petit swap réalisé par le co-fondateur d'Ethereum, Vitalik Buterin. Il avait mobilisé 1,14 million de dollars pour frontrunder la transaction de Buterin afin de ne gagner que 4 dollars (après frais, le bot a perdu quelques dollars sur cette transaction en particulier).
La transaction ne valait que quelques dollars, et la perte était infime, mais elle a montré à quel point le bot était devenu industrialisé. Il scannait le mempool pour presque tout ce dans quoi il pouvait s'insérer.
Bien que l'incident de samedi ne rende pas les attaques sandwich moins nuisibles, il montre bien le risque d'exploiter des systèmes qui approuvent des transactions à la vitesse d'une machine sur la base de la reconnaissance de schémas et de signaux de profit.
Jaredfromsubway.eth a passé des années à profiter de traders qui ne voyaient pas le bot arriver. Mais samedi, le bot non plus n'a pas vu la transaction arriver.
