JaredFromSubway.eth, l’un des bots d’attaques « sandwich » les plus notoires d’Ethereum (ETH), s’est fait vider de plus de 7,5 millions de dollars après que des attaquants ont retourné contre lui sa propre automatisation de trading.
Points clés :
- JaredFromSubway.eth a perdu plus de 7,5 millions de dollars lorsque son automatisation de trading a approuvé des contrats contrôlés par l’attaquant.
- L’attaquant a déployé 66 faux tokens et de fausses pools de liquidité sur plusieurs semaines pour appâter le bot.
- Une partie des fonds volés a transité par Tornado Cash, et l’identité de l’attaquant reste inconnue.
JaredFromSubway.eth vidé dans un piège de type honeypot
Aucun code n’a été compromis.
Le bot a été vidé samedi après que son système automatisé a approuvé la dépense de tokens pour des contrats contrôlés par l’attaquant, lui remettant ainsi les clés de sa propre trésorerie. La société de sécurité Blockaid a signalé l’incident, excluant à la fois une tentative de phishing et tout défaut dans le contrat victime depuis lequel les fonds ont été siphonnés.
Raz Niv, directeur technique de Blockaid, a décrit l’opération comme un honeypot de contre-MEV, un piège conçu pour exploiter la logique à confiance minimisée sur laquelle les traders automatisés s’appuient discrètement. Il a ciblé exactement ce que le bot était programmé pour traquer.
Sur plusieurs semaines, l’attaquant a déployé 66 tokens contrefaits qui copiaient les noms de Wrapped Ether, USDC (USDC) et Tether (USDT), puis les a associés à de fausses pools de liquidité. Ces pools ressemblaient à des arbitrages faciles, exactement le type de profit que le bot recherche dans le mempool pour le front‑run à chaque bloc. Une seule transaction a tout balayé.
À lire aussi : XRP face à un test d’effet de levier alors que 1,44 Md$ de demande d’ETF rencontrent des ventes
Les bots MEV font face à un problème de confiance
Le revers est d’autant plus cuisant que le bot figure parmi les machines à profit les plus détestées de la crypto, actif depuis 2023 et ayant aurait encaissé des dizaines de millions aux dépens de traders qui n’ont jamais vu les ordres se refermer autour de leurs swaps.
Son opérateur fait partie depuis longtemps des plus gros consommateurs de gas sur Ethereum, brûlant parfois plus de deux cents Ether en une seule journée pour se placer en tête de chaque bloc.
Les chercheurs attribuent environ 70 % de toutes les attaques sandwich sur Ethereum à ce bot, une pratique qui coûterait aux traders du réseau quelque 60 millions de dollars ou plus chaque année. Peu de gens éprouvent de la sympathie. Un bot de type sandwich place un ordre juste avant une transaction en attente et un autre juste après, puis empoche l’écart de prix ainsi créé comme une taxe invisible sur les utilisateurs ordinaires, qui la remarquent rarement.
L’investisseur crypto David Gokhshtein a mis en garde contre toute célébration, tout en admettant que quiconque s’est déjà fait « sandwicher » par le bot aurait désormais du mal à le plaindre. Une partie des fonds volés a déjà transité par Tornado Cash.
Cette ponction marque la fin d’une longue période d’activité agressive. En mai, le bot a « sandwiché » le cofondateur d’Ethereum Vitalik Buterin lors d’un petit swap de tokens, signe que même les portefeuilles les plus en vue avaient attiré son attention, aussi minime soit la perte. La perte de samedi constitue un échec rare et coûteux pour une opération qui fonctionnait largement sans opposition depuis plus de deux ans, et les enquêteurs retracent encore où est allé le reste.
À lire ensuite : Pourquoi Trump a‑t‑il adouci sa position sur la menace Anthropic après le G7 ?





