Jaredfromsubway.eth, l’un des bots MEV les plus performants de la crypto, a été vidé de plus de 7,5 millions de dollars après qu’un attaquant ait retourné contre lui la logique d’exécution automatisée du bot. L’attaque a utilisé une méthodologie de counter-MEV honeypot, en exploitant le système de prise de décision automatisée du bot en le poussant à accorder des autorisations (approvals) de tokens à des contrats contrôlés par l’attaquant. Les bots MEV surveillent les transactions blockchain en attente et tentent de tirer profit en contrôlant leur ordre d’inclusion, souvent via des attaques de type sandwich et d’autres stratégies d’extraction maximale de valeur sur Ethereum.
L’incident marque un revers public rare pour un bot devenu étroitement associé aux attaques sandwich sur Ethereum. Pour les utilisateurs DeFi, l’activité des bots MEV peut fonctionner comme un coût invisible attaché au trading onchain.
L’attaquant a déployé un counter-MEV honeypot via 66 faux contrats de tokens
L’attaque ne reposait pas sur un parcours de phishing standard ni sur un bug direct dans les contrats intelligents du bot. Au lieu de cela, des contrats contrôlés par l’attaquant ont trompé le système automatisé de Jaredfromsubway.eth pour qu’il accorde des autorisations permettant de dépenser des tokens, qui ont ensuite été utilisées pour vider les fonds de la trésorerie du bot.
« Ce n’est pas une attaque de phishing classique et ce n’est pas une vulnérabilité traditionnelle de smart contract dans le contrat de la victime », a déclaré Blockaid.
Sur plusieurs semaines, l’attaquant a déployé 66 faux contrats de tokens qui copiaient les noms et les interfaces de Wrapped ETH, USDC et USDT. Ces faux tokens ont ensuite été associés à de faux pools de liquidité conçus pour donner l’impression d’opportunités de trading rentables.
Le directeur technique de Blockaid, Raz Niv, a décrit l’incident comme un counter-MEV honeypot. « C’était une attaque de counter-MEV honeypot, qui a spécifiquement ciblé la logique automatisée de prise de décision minimisant la confiance que les bots MEV utilisent », a-t-il déclaré.
Lorsque Jaredfromsubway.eth a interagi avec l’environnement factice, il a approuvé des contrats auxiliaires contrôlés par l’attaquant pour dépenser de vrais actifs en son nom. Ces approvals ont donné à l’attaquant un chemin vers la trésorerie du bot.
« Ironiquement, ce faisant, il a fourni à l’attaquant les clés de millions d’une valeur de la trésorerie du bot », a déclaré Niv.
L’attaquant a ensuite exécuté une seule transaction appelant les 66 backdoors, balayant ETH, USDC et USDT depuis les adresses concernées. Des données onchain ont montré que certains des fonds dérobés ont ensuite été envoyés à Tornado Cash, un service de mixage crypto souvent utilisé pour masquer les mouvements de fonds.
Jaredfromsubway.eth associé à 70% des attaques sandwich entre novembre 2024 et octobre 2025
Jaredfromsubway.eth est depuis longtemps l’un des exemples les plus visibles d’activité MEV sur Ethereum. Des recherches ont estimé que les attaques sandwich sur Ethereum ont causé environ 60 millions de dollars de pertes annuelles aux traders. Entre novembre 2024 et octobre 2025, les attaques sandwich auraient varié entre 60 000 et 90 000 par mois, avec environ 70% associées à Jaredfromsubway.eth.
Dans la plupart des piratages DeFi, les utilisateurs ou les protocoles sont les victimes directes. Dans ce cas, la cible était un bot largement perçu comme capturant de la valeur aux dépens de traders ordinaires. L’incident ne supprime pas le problème MEV plus large, mais il montre que la même automatisation utilisée pour capturer un profit peut créer une exposition concentrée lorsque les bots interagissent avec des contrats hostiles.
L’attaque met aussi en évidence que les bots créent des schémas comportementaux prévisibles que les attaquants peuvent étudier. Lorsque ces schémas impliquent des approvals, une logique de routage ou des interactions répétées avec des contrats inconnus, le bot lui-même peut devenir une cible.
Le cofondateur d’Ethereum Vitalik Buterin a déjà fait l’objet d’une attaque sandwich de la part de Jaredfromsubway.eth lors d’un échange d’une petite quantité de DigitalBits, montrant que même des transactions de faible valeur peuvent être ciblées par des systèmes MEV. La perte a été minime, mais l’exemple illustre à quel point ces bots peuvent être indiscriminés.
L’investisseur crypto et commentateur David Gokhshtein a décrit la réaction publique en termes sans détour. « Nous ne devrions pas nous réjouir de ça ; personne ne devrait célébrer … mais si vous avez déjà été sandwiché par ça … je suis assez sûr que vous n’êtes pas contrarié par cette actualité », a-t-il déclaré.
Le CTO de Blockaid décrit l’attaque comme ciblant la logique automatisée de prise de décision minimisant la confiance
L’attaquant a construit une embuscade autour du propre modèle d’incitation du bot. Les bots MEV sont conçus pour identifier et exécuter rapidement des opportunités rentables, avec un contrôle humain limité. Dans ce cas, cette prise de décision automatisée est devenue la surface d’attaque.
Le directeur technique de Blockaid, Raz Niv, a déclaré que l’incident avait spécifiquement ciblé la logique automatisée de prise de décision minimisant la confiance que les bots MEV utilisent. La configuration a fourni au bot ce qui ressemblait à des transactions rentables à poursuivre, le conduisant à accorder des approvals qui ont finalement donné accès à des millions de dollars d’une valeur de la trésorerie du bot.
Il est probable que l’incident pousse les opérateurs MEV à revoir la manière dont les systèmes automatisés gèrent les approvals, la vérification des tokens et la validation des pools de liquidité. Les noms de tokens factices et des interfaces familières ne suffisent pas à établir la confiance, surtout lorsque les bots opèrent à des vitesses qui laissent peu de place à des contrôles manuels.
FAQ
Que s’est-il passé pour le bot MEV Jaredfromsubway.eth ?
Jaredfromsubway.eth a été vidé de plus de 7,5 millions de dollars après qu’un attaquant a utilisé une attaque de counter-MEV honeypot. L’attaquant a déployé 66 faux contrats de tokens sur plusieurs semaines qui imitaient Wrapped ETH, USDC et USDT, trompant le bot pour qu’il accorde des approvals de tokens à des contrats contrôlés par l’attaquant. L’attaquant a ensuite exécuté une seule transaction appelant les 66 backdoors afin de transférer des fonds depuis la trésorerie du bot.
Quelle quantité d’activité MEV était associée à Jaredfromsubway.eth ?
Entre novembre 2024 et octobre 2025, les attaques sandwich sur Ethereum auraient varié entre 60 000 et 90 000 par mois, avec environ 70% associées à Jaredfromsubway.eth. Des recherches ont estimé que les attaques sandwich sur Ethereum ont causé environ 60 millions de dollars de pertes annuelles aux traders.
Qu’a dit Blockaid au sujet de la méthode d’attaque ?
Blockaid a indiqué qu’il ne s’agissait pas d’une attaque de phishing classique et qu’il ne s’agissait pas d’une vulnérabilité traditionnelle de smart contract dans le contrat de la victime. Le directeur technique de Blockaid, Raz Niv, a décrit l’incident comme une attaque de counter-MEV honeypot qui a spécifiquement ciblé la logique automatisée de prise de décision minimisant la confiance que les bots MEV utilisent.
