- Atakujący opróżnił ponad 7,5 miliona dolarów z niesławnego bota MEV na Ethereum jaredfromsubway.eth, wykorzystując jego zautomatyzowaną logikę tradingową, a nie tradycyjny błąd w kontrakcie czy oszustwo phishingowe.
- Przez kilka tygodni atakujący wabił bota do zatwierdzania złośliwych kontraktów pomocniczych za pomocą fałszywych tokenów i pul płynności imitujących aktywa takie jak WETH, USDC i USDT, a następnie wykorzystał te otwarte zatwierdzenia do wypłaty środków i przekierowania części z nich przez Tornado Cash.
- Incydent podkreśla zarówno skalę, jak i ryzyko uprzemysłowionej działalności botów kanapkowych — jaredfromsubway.eth odpowiadał za około 70% ataków kanapkowych na Ethereum, które kosztują traderów około 60 milionów dolarów rocznie — pokazując, jak systemy oparte na wzorcach działające z prędkością maszyny mogą same stać się ofiarami.
Jaredfromsubway.eth, jeden z najbardziej znanych botów MEV na Ethereum, został opróżniony z ponad 7,5 miliona dolarów po tym, jak atakujący obrócił własną zautomatyzowaną logikę tradingową bota przeciwko niemu.
Bot znany jest z ataków kanapkowych — formy maksymalnej wartości możliwej do wydobycia (MEV), w której zautomatyzowany trader wykrywa oczekującą transakcję, kupuje przed nią, pozwala ofierze handlować po gorszej cenie, a następnie natychmiast sprzedaje.
Rezultatem jest mały ukryty podatek od użytkowników, który może się sumować w tysiącach transakcji.
Ataki kanapkowe zazwyczaj nie są traktowane jako exploit, lecz są postrzegane w kręgach kryptowalutowych jako forma drapieżnego zachowania, które uszczupla wartość użytkowników, prowadzi do wzrostu opłat gas i nie przynosi korzyści ani sieci, ani użytkownikowi.
Firma bezpieczeństwa Blockaid stwierdziła, że sobotnii incydent nie był typowym atakiem phishingowym ani prostym błędem w kontrakcie ofiary. Atakujący zamiast tego wycelował w system podejmowania decyzji przez bota.
Przygotowania trwały kilka tygodni, podczas których atakujący wdrożył dziesiątki fałszywych kontraktów tokenowych i fałszywych pul płynności — termin oznaczający zbiór tokenów zablokowanych na zdecentralizowanej giełdzie — które wyglądały jak zyskowne transakcje. Niektóre imitowały znane aktywa, takie jak wrapped ether (WETH) oraz powiązane z dolarem stablecoiny USDC i USDT.
Przynęta zadziałała zgodnie z założeniami. Bot jaredfromsubway.eth dostrzegł pozornie atrakcyjne okazje MEV i wygenerował zatwierdzenia dla kontrolowanych przez atakującego kontraktów pomocniczych do wydawania tokenów w jego imieniu. Te zatwierdzenia były natychmiast wykorzystywane jako część transakcji we wcześniejszych testach, ale później atakujący stworzył ścieżki, w których zatwierdzenia pozostawały otwarte.
To dało atakującemu stałe uprawnienie do wypłaty środków. Wykorzystał te otwarte zatwierdzenia do transferu WETH, USDC i USDT z kontraktów jaredfromsubway.eth, opróżniając ponad 7,5 miliona dolarów.
Część skradzionych środków została później wysłana do Tornado Cash, co pokazały dane onchain sprawdzone przez CoinDesk.
Ironia była trudna do przeoczenia.
Jaredfromsubway.eth od dawna był jednym z najbardziej widocznych symboli toksycznego MEV na Ethereum. Ataki kanapkowe kosztują traderów na Ethereum około 60 milionów dolarów rocznie, przy 60 000 do 90 000 ataków miesięcznie w okresie od listopada 2024 do października 2025.
Około 70% tych ataków było powiązanych z jaredfromsubway.eth, który jest aktywny od początku 2023 roku.
CoinDesk informował w maju, że ten sam bot przeprowadził nawet atak kanapkowy na małą transakcję współtwórcy Ethereum Vitalika Buterina. Przeznaczył 1,14 miliona dolarów, aby wyprzedzić transakcję Buterina i zarobić zaledwie 4 dolary (po opłatach bot stracił na tej konkretnej transakcji kilka dolarów).
Transakcja była warta zaledwie kilka dolarów, a strata była minimalna, ale pokazała, jak uprzemysłowiony stał się bot. Skanował mempool w poszukiwaniu niemal wszystkiego, w co mógł się wcisnąć.
Choć sobotnii incydent nie sprawia, że ataki kanapkowe są mniej szkodliwe, to pokazuje ryzyko związane z uruchamianiem systemów zatwierdzających transakcje z prędkością maszyny w oparciu o rozpoznawanie wzorców i sygnały zysku.
Jaredfromsubway.eth przez lata czerpał zyski z traderów, którzy nie widzieli nadchodzącego bota. Ale w sobotę bot sam nie zauważył nadchodzącej transakcji.
