Blockaid cho biết kẻ tấn công đã lừa Jaredfromsubway.eth phê duyệt các tuyến giao dịch giả mạo, sau đó sử dụng những phê duyệt đó để rút WETH, USDC và USDT.
- Kẻ tấn công đã rút hơn 7,5 triệu USD từ bot Ethereum MEV khét tiếng jaredfromsubway.eth bằng cách khai thác logic giao dịch tự động của nó thay vì lỗi hợp đồng truyền thống hoặc lừa đảo lừa đảo.
- Trong vài tuần, kẻ tấn công đã dụ bot phê duyệt các hợp đồng trợ giúp độc hại thông qua token giả và nhóm thanh khoản bắt chước các tài sản như WETH, USDC và USDT, sau đó sử dụng các phê duyệt mở đó để rút tiền và chuyển một số thông qua Tornado Cash.
- Vụ việc nhấn mạnh cả quy mô và rủi ro của hoạt động sandwich-bot công nghiệp hóa—jaredfromsubway.eth đã chịu trách nhiệm cho khoảng 70% các cuộc tấn công bánh sandwich Ethereum, khiến các nhà giao dịch thiệt hại khoảng 60 triệu USD mỗi năm—bằng cách cho thấy các hệ thống dựa trên mô hình, tốc độ máy có thể tự biến thành nạn nhân như thế nào.
Jaredfromsubway.eth, một trong những bot MEV khét tiếng nhất của Ethereum, đã bị mất hơn 7,5 triệu USD sau khi kẻ tấn công biến logic giao dịch tự động của bot chống lại nó.
Robot này nổi tiếng với các cuộc tấn công sandwich, một dạng giá trị có thể trích xuất tối đa hoặc MEV, trong đó một nhà giao dịch tự động phát hiện một giao dịch đang chờ xử lý, mua trước giao dịch đó, để nạn nhân giao dịch ở mức giá thấp hơn rồi bán ngay sau đó.
Kết quả là một khoản thuế ẩn nhỏ đối với người dùng có thể cộng lại trong hàng nghìn giao dịch.
Những kẻ tấn công bánh sandwich thường không phải là một hình thức khai thác nhưng được giới tiền điện tử coi là một loại hành vi săn mồi, lấy đi giá trị của người dùng, dẫn đến phí gas tăng đột biến và không mang lại lợi ích cho mạng hoặc người dùng.
Công ty bảo mật phong tỏa anh ấy nói Vụ việc hôm thứ Bảy không phải là một cuộc tấn công lừa đảo thông thường và không phải là một lỗi đơn giản trong hợp đồng của nạn nhân. Thay vào đó, kẻ tấn công nhắm vào hệ thống ra quyết định của bot.
Quá trình thiết lập được xây dựng trong vài tuần, trong đó kẻ tấn công triển khai hàng chục hợp đồng token giả và nhóm thanh khoản giả – thuật ngữ chỉ một đống token bị khóa trên một sàn giao dịch phi tập trung – trông giống như các giao dịch có lãi. Một số tài sản bắt chước quen thuộc như ether được bọc (WETH) và stablecoin được chốt bằng đô la USDC và USDT.
Mồi đó đã làm những gì nó phải làm. Bot của Jaredfromsubway.eth đã nhìn thấy những cơ hội trông giống như MEV và tạo ra sự chấp thuận cho các hợp đồng trợ giúp do kẻ tấn công kiểm soát để thay mặt nó chi tiêu mã thông báo. Những phê duyệt đó đã được sử dụng ngay lập tức như một phần của giao dịch trong các thử nghiệm trước đó, nhưng sau đó, kẻ tấn công đã tạo ra các tuyến đường mà các phê duyệt vẫn mở.
Điều này khiến kẻ tấn công có quyền thường trực để rút tiền. Và họ đã sử dụng những phê duyệt mở đó để chuyển WETH, USDC và USDT ra khỏi hợp đồng của Jaredfromsubway.eth, tiêu tốn hơn 7,5 triệu USD.
Một số tiền bị đánh cắp sau đó đã được gửi đến Tornado Cash, dữ liệu onchain được CoinDesk xem xét lại cho thấy.
Trong khi đó, điều trớ trêu là khó bỏ qua.
Jaredfromsubway.eth từ lâu đã là một trong những biểu tượng dễ thấy nhất của MEV độc hại trên Ethereum. Các cuộc tấn công bánh sandwich khiến các nhà giao dịch Ethereum thiệt hại khoảng 60 triệu USD mỗi năm, với 60.000 đến 90.000 cuộc tấn công mỗi tháng trong khoảng thời gian từ tháng 11 năm 2024 đến tháng 10 năm 2025.
Khoảng 70% các cuộc tấn công đó có liên quan đến Jaredfromsubway.eth, người đã hoạt động từ đầu năm 2023.
CoinDesk đã báo cáo vào tháng 5 rằng bot tương tự thậm chí đã kẹp một giao dịch hoán đổi nhỏ của người đồng sáng lập Ethereum Vitalik Buterin. Nó đã đầu tư 1,14 triệu đô la để dẫn đầu Buterin’s giao dịch để kiếm được chỉ 4 đô la (sau phí, bot sẽ kiếm được vài đô la cho giao dịch cụ thể này).
Giao dịch này chỉ có giá trị vài đô la và khoản lỗ rất nhỏ nhưng nó cho thấy bot đã được công nghiệp hóa như thế nào. Nó đang quét mempool để tìm gần như bất cứ thứ gì nó có thể tự chèn vào xung quanh.
Mặc dù sự cố hôm thứ Bảy không làm cho các cuộc tấn công sandwich ít nguy hiểm hơn nhưng nó cho thấy rủi ro khi chạy các hệ thống phê duyệt giao dịch ở tốc độ máy dựa trên nhận dạng mẫu và tín hiệu lợi nhuận.
Jaredfromsubway.eth đã dành nhiều năm thu lợi nhuận từ những nhà giao dịch không lường trước được sự xuất hiện của bot. Nhưng vào thứ Bảy, bot cũng không thấy giao dịch sắp diễn ra.
