JaredFromSubway.eth, l’un des bots de sandwich attack (ETH) les plus notoires d’Ethereum, a été vidé de plus de 7,5 millions de dollars après que des attaquants ont retourné contre lui sa propre automatisation de trading.
Points clés :
- JaredFromSubway.eth a perdu plus de 7,5 millions de dollars lorsque son automatisation de trading a approuvé des contrats contrôlés par l’attaquant.
- L’attaquant a déployé 66 faux jetons et de fausses pools de liquidité pendant plusieurs semaines pour appâter le bot.
- Une partie des fonds volés a transité par Tornado Cash, et l’identité de l’attaquant reste inconnue.
JaredFromSubway.eth vidé dans un piège à honeypot
Aucun code n’a été cassé.
Le bot a été vidé samedi après que son système automatisé a approuvé des dépenses de jetons pour des contrats contrôlés par l’attaquant, lui remettant les clés de sa propre trésorerie. La société de sécurité Blockaid a signalé l’incident, excluant à la fois une attaque de phishing et tout défaut dans le contrat victime d’où les fonds ont été retirés.
Raz Niv, directeur technique chez Blockaid, a décrit l’opération comme un honeypot anti-MEV, un piège conçu pour exploiter la logique minimisant la confiance sur laquelle reposent discrètement les traders automatisés. Il visait précisément ce que le bot était conçu pour traquer.
Pendant plusieurs semaines, l’attaquant a déployé 66 jetons contrefaits copiant les noms de Wrapped Ether, USDC (USDC) et Tether (USDT), puis les a associés à de fausses pools de liquidité. Ces pools semblaient offrir un arbitrage facile, exactement le type de profit que le bot repère dans le mempool pour le devancer à chaque bloc. Une seule transaction a tout siphonné.
À lire aussi : XRP fait face à un test de levier alors qu’une demande d’ETF de 1,44 Md$ rencontre une vente massive
Les bots MEV face à un problème de confiance
Le retournement a fait mal, car le bot figure parmi les machines à profit les plus détestées de la cryptomonnaie, en activité depuis 2023 et ayant, selon les rapports, engrangé des dizaines de millions auprès de traders qui ne voyaient jamais les ordres se refermer autour de leurs swaps.
Son opérateur figure depuis longtemps parmi les plus gros consommateurs de gas sur Ethereum, brûlant parfois plus de deux cents Ether en une seule journée pour gagner la priorité en tête de chaque bloc.
Les chercheurs attribuent environ 70 % de toutes les attaques sandwich sur Ethereum à ce bot, une pratique estimée coûter aux traders du réseau environ 60 millions de dollars ou plus chaque année. Peu de gens ont ressenti beaucoup de sympathie. Un bot sandwich place un ordre juste avant une transaction en attente et un autre juste derrière, puis empoche l’écart de prix créé, comme une taxe invisible sur les utilisateurs ordinaires qui le remarquent rarement.
L’investisseur crypto David Gokhshtein a mis en garde contre toute célébration, tout en admettant que quiconque a déjà été « sandwiché » par le bot aurait du mal à le plaindre. Une partie des fonds volés a déjà transité par Tornado Cash.
Le siphonnage met fin à une longue série d’attaques agressives. En mai, le bot a sandwiché le cofondateur d’Ethereum Vitalik Buterin lors d’un petit swap de jetons, signe que même les portefeuilles prestigieux avaient attiré son attention, malgré la faible ampleur de cette perte. La perte de samedi marque un échec rare et coûteux pour une opération qui avait largement fonctionné sans opposition pendant plus de deux ans, et les enquêteurs retracent toujours la destination du reste des fonds.
À lire ensuite : Pourquoi Trump a-t-il adouci sa position sur la menace Anthropic après le G7 ?