O Bot de MEV do Ethereum, JaredFromSubway, perde US$ 7,5M em um exploit

O operador do jaredfromsubway, uma bot de trading de Ethereum conhecida, perdeu US$ 7,5 milhões no sábado após um exploit que mirou o sistema de aprovação de transações da bot. A empresa de segurança Blockaid informou que um atacante usou tokens falsos e contratos inteligentes fraudulentos para drenar fundos legítimos da bot. O exploit ocorreu contra uma bot que ganhou notoriedade por realizar ataques sandwich — uma forma de manipulação de mercado em exchanges descentralizadas envolvendo ordens feitas ao redor de transações pendentes para lucrar às custas de outras pessoas.

Atacante explorou a lógica de aprovação com tokens falsos

A Blockaid explicou que o atacante apresentou ao jaredfromsubway oportunidades de trading enganosas que, depois, permitiram que o mau ator drenasse fundos. A bot foi projetada para fazer varreduras contínuas em busca de trades lucrativos e ocasionalmente concede a entidades permissão para mover fundos em seu nome para executar essas negociações. De acordo com a Blockaid, algumas transações das quais o jaredfromsubway participou revogaram essas permissões imediatamente após a conclusão, enquanto transações criadas pelo atacante não revogaram. “Isso deixou os gastadores controlados pelo atacante armados”, afirmou a Blockaid em uma postagem no X. O esquema envolveu tokens falsos e contratos inteligentes fraudulentos que exploraram esse mecanismo de aprovação.

Operador oferece recompensa de 50% e ameaça ação legal

Em uma mensagem on-chain após o ataque de sábado, o operador da bot ofereceu uma “recompensa white hat de 50%” pela devolução de 2.150 Ethereum, atualmente avaliados em aproximadamente US$ 3,7 milhões, dentro de 48 horas. O operador ameaçou buscar remédios legais e envolver as autoridades policiais se os fundos não fossem devolvidos nesse prazo.

Fundos roubados depositados na Tornado Cash

A empresa de segurança PeckShield observou em uma postagem no X que o atacante começou a apagar rastros após o exploit. Depois de roubar Ethereum tokenizado (wrapped) e stablecoins, parte dos fundos foi trocada e parcialmente depositada na Tornado Cash, um recurso comum para atacantes que tentam obscurecer o fluxo de ganhos obtidos de forma ilícita.

FAQ

O que aconteceu com a bot jaredfromsubway no sábado?
A bot jaredfromsubway perdeu US$ 7,5 milhões no sábado após um atacante explorar sua lógica de aprovação de transações usando tokens falsos e contratos inteligentes fraudulentos, segundo a empresa de segurança Blockaid.

O que o operador do jaredfromsubway ofereceu após o exploit?
O operador ofereceu uma recompensa white hat de 50% pela devolução de 2.150 Ethereum (aproximadamente US$ 3,7 milhões) dentro de 48 horas e ameaçou processar legalmente e envolver as autoridades se os fundos não fossem devolvidos.