Robô de sanduíches JaredFromSubway esvazia em meio a um "pote" de contrato falso, com prejuízo de cerca de US$ 7,5 milhões

A empresa de segurança Blockaid divulgou em 21 de junho que o bot de ataques de sandwich notoriedade na rede Ethereum JaredFromSubway foi alvo de um esquema de armadilhas (honeypots) meticulosamente desenhado com 66 contratos de tokens falsificados, implantados pelos atacantes ao longo de várias semanas. O golpe usou a lógica automática do bot para caçar lucro e enganou o robô a aprovar permissões de movimentação de tokens; por fim, esvaziou de uma só vez os ativos reais da carteira do bot.

Implantação e lógica de ataque dos 66 contratos de tokens falsificados

A preparação do atacante durou semanas. Foram implantados, em sequência, 66 contratos de tokens falsificados, com aparência que imita com precisão Wrapped Ether (WETH), USD Coin (USDC) e Tether (USDT), três ativos amplamente usados.

A lógica central do JaredFromSubway é varrer continuamente o mempool do Ethereum, identificar e acompanhar rotas de arbitragem de tokens com alta liquidez. Para o olhar do robô, esses contratos falsos são indistinguíveis das rotas verdadeiras; ele, como de costume, “fareja” uma oportunidade e, em seguida, aprova o gasto de tokens por um contrato auxiliar controlado pelo atacante.

A Blockaid afirmou: “O contrato controlado pelo atacante enganou o sistema automático de execução de MEV, fazendo com que ele concedesse autorizações de tokens. Essas autorizações depois foram usadas para sacar os fundos.” Apenas uma autorização em uma única transação liberou mais de 92 WETH. Por fim, o último contrato usa essas autorizações já abertas para limpar, de uma só vez, os ativos reais dentro da carteira do bot; as transações on-chain podem ser consultadas no Etherscan.

Balanço do histórico do JaredFromSubway: receita bruta no pico acima de US$ 34 milhões

Desde o início de 2023, o JaredFromSubway já esteve ativo e realizou centenas de milhares de ataques de sandwich. No período de maior pico, a receita bruta estimada ficou entre US$ 34 e US$ 40 milhões. Nos momentos em que o MEV estava mais agressivo, cerca de 70% dos ataques de sandwich na rede Ethereum mensalmente provinham deste bot.

Em maio de 2026, o JaredFromSubway executou um ataque de sandwich na troca de tokens de Vitalik Buterin, usando mais de US$ 1,14 milhão em WETH para fazer o “cerco”, o que gerou ampla repercussão. Casos semelhantes de “caça ao MEV Bot” não são inéditos — em 2023, um validador malicioso aproveitou a mesma lógica para desviar cerca de US$ 25 milhões de múltiplos bots de sandwich; desta vez, o método foi ainda mais sofisticado, trocando uma única investida por 66 contratos falsos.

Dois números para as perdas: US$ 7,5 milhões on-chain vs US$ 15 milhões alegados pelo projetista

A análise on-chain da Blockaid e da PeckShield fixa as perdas em cerca de US$ 7,5 milhões. O projetista do JaredFromSubway alegou que, se forem incluídas as partes não diretamente visíveis on-chain, a perda total se aproxima de US$ 15 milhões, e que já foi oferecida uma recompensa de US$ 1 milhão, com a condição de que os atacantes devolvam os fundos.

Perguntas frequentes

Como os atacantes fizeram o JaredFromSubway conceder permissões de tokens sem saber?

De acordo com a análise da Blockaid, os 66 contratos falsos implantados pelo atacante tinham aparência totalmente idêntica a ativos reais de alta liquidez (WETH, USDC, USDT), o que, para a lógica de varredura automática do robô, não diferia da rota verdadeira. Depois que o bot identifica automaticamente “oportunidades de arbitragem” e aprova a movimentação de tokens, o último contrato do atacante usa essas autorizações já liberadas para limpar de uma só vez os ativos reais. A origem da falha não é um problema no código, e sim a própria lógica do bot em busca de lucro.

A recompensa de US$ 1 milhão do JaredFromSubway pode recuperar os fundos?

Conforme reportado, embora o projetista do JaredFromSubway tenha oferecido uma recompensa de US$ 1 milhão, com base em casos históricos, a taxa de devolução de fundos em incidentes desse tipo é extremamente baixa. O artigo destaca que “a chance de conseguir recuperar esse dinheiro, atualmente, não é alta”.

Por que a estimativa de perdas da Blockaid e do projetista é tão diferente (US$ 7,5 milhões vs US$ 15 milhões)?

De acordo com a reportagem, as análises on-chain da Blockaid e da PeckShield só conseguem rastrear perdas de ativos on-chain diretamente visíveis (cerca de US$ 7,5 milhões). Os US$ 15 milhões alegados pelo projetista do JaredFromSubway incluem as partes não diretamente visíveis on-chain, mas a composição específica ainda não foi divulgada.