JaredFromSubway.eth, uno dei bot di Ethereum (ETH) più famigerati per gli attacchi sandwich, è stato prosciugato di oltre 7,5 milioni di dollari dopo che gli aggressori hanno rivolto contro di esso la sua stessa automazione di trading.
Punti chiave:
- JaredFromSubway.eth ha perso oltre 7,5 milioni di dollari quando la sua automazione di trading ha approvato contratti controllati dall'attaccante.
- L'attaccante ha piazzato 66 token falsi e pool di liquidità fasulli per diverse settimane per attirare il bot.
- Parte dei fondi rubati è passata attraverso Tornado Cash e l'identità dell'attaccante è ancora sconosciuta.
JaredFromSubway.eth prosciugato in una trappola honeypot
Non è stato violato alcun codice.
Il bot è stato svuotato sabato dopo che il suo sistema automatizzato ha approvato la spesa di token per contratti controllati dall'attaccante, consegnando le chiavi della propria tesoreria. La società di sicurezza Blockaid ha segnalato l'incidente, escludendo sia una truffa di phishing sia qualsiasi difetto nel contratto della vittima da cui sono stati prelevati i fondi.
Raz Niv, chief technology officer di Blockaid, ha descritto l'operazione come un honeypot contro-MEV, una trappola costruita per sfruttare la logica minimizzata della fiducia da cui i trader automatizzati dipendono silenziosamente. Ha preso di mira proprio ciò che il bot era stato costruito per inseguire.
Nel corso di diverse settimane, l'attaccante ha piazzato 66 token contraffatti che imitavano i nomi di Wrapped Ether, USDC (USDC) e Tether (USDT), associandoli poi a pool di liquidità falsi. Quei pool sembravano opportunità di arbitraggio facili, esattamente il tipo di profitto che il bot scandaglia nel mempool per individuare e anticipare in ogni blocco. Una sola transazione li ha svuotati tutti e tre.
Leggi anche: XRP affronta una prova di leva mentre la domanda di ETF da 1,44 miliardi di dollari incontra una svendita
I bot MEV affrontano un problema di fiducia
Il rovesciamento ha fatto male perché il bot figura tra le macchine di profitto più detestate del settore crypto, attivo dal 2023 e capace, secondo quanto riportato, di accumulare decine di milioni a spese di trader che non vedevano mai gli ordini chiudersi attorno ai propri swap.
Il suo operatore è da tempo tra i maggiori consumatori di gas su Ethereum, arrivando talvolta a bruciare più di duecento Ether in un solo giorno pur di conquistare la posizione in testa a ogni blocco.
I ricercatori attribuiscono circa il 70% di tutti gli attacchi sandwich su Ethereum al bot, una pratica che si stima costi ai trader della rete circa 60 milioni di dollari o più ogni anno. Pochi hanno mostrato molta simpatia. Un bot sandwich inserisce un ordine subito prima di un trade in attesa e un altro subito dopo, intascando poi il differenziale di prezzo creato come una tassa invisibile sugli utenti comuni, che raramente se ne accorgono.
L'investitore crypto David Gokhshtein ha messo in guardia dal festeggiare, pur ammettendo che chiunque sia mai stato sandwiched dal bot faticherà ora a provare compassione. Parte dei fondi rubati è già passata attraverso Tornado Cash.
Il prosciugamento conclude una lunga corsa aggressiva. A maggio, il bot ha fatto sandwich al cofondatore di Ethereum Vitalik Buterin durante un piccolo swap di token, segno che persino i wallet più noti avevano attirato la sua attenzione, per quanto contenuta fosse quella perdita. La perdita di sabato ha segnato un raro e costoso fallimento per un'operazione che era rimasta in gran parte incontrastata per più di due anni, e gli investigatori stanno ancora tracciando la destinazione del resto.
Leggi dopo: Perché Trump ha attenuato la sua posizione minacciosa su Anthropic dopo il G7?