JaredFromSubway.eth, uno dei bot di sandwich-attack più famigerati di Ethereum (ETH), è stato prosciugato di oltre 7,5 milioni di dollari dopo che gli aggressori hanno rivolto contro di lui la sua stessa automazione di trading.
Punti chiave:
- JaredFromSubway.eth ha perso oltre 7,5 milioni di dollari quando la sua automazione di trading ha approvato contratti controllati dall’attaccante.
- L’attaccante ha piazzato 66 token falsi e pool di liquidità fasulli nel corso di diverse settimane per adescare il bot.
- Parte dei fondi rubati è passata attraverso Tornado Cash e l’identità dell’attaccante è ancora sconosciuta.
JaredFromSubway.eth prosciugato in una trappola honeypot
Nessun codice è stato violato.
Il bot è stato svuotato sabato, dopo che il suo sistema automatizzato ha approvato la spesa di token per contratti controllati dall’attaccante, consegnando di fatto le chiavi del proprio tesoro. La società di sicurezza Blockaid ha segnalato l’incidente, escludendo sia un tentativo di phishing sia qualsiasi vulnerabilità all’interno del contratto della vittima da cui sono stati prelevati i fondi.
Raz Niv, chief technology officer di Blockaid, ha descritto l’operazione come un honeypot di counter-MEV, una trappola costruita per sfruttare la logica trust-minimized su cui fanno silenziosamente affidamento i trader automatizzati. Ha preso di mira esattamente ciò che il bot era stato costruito per inseguire.
Nel corso di diverse settimane, l’attaccante ha creato 66 token contraffatti che copiavano i nomi di Wrapped Ether, USDC (USDC) e Tether (USDT), quindi li ha abbinati a pool di liquidità fasulli. Quei pool sembravano facili opportunità di arbitraggio, esattamente il tipo di profitto che il bot scandaglia nel mempool per trovare e front-runnare in ogni blocco. Una singola transazione ha spazzato via tutti e tre.
Leggi anche: XRP affronta un test di leva mentre la domanda da 1,44 miliardi di dollari per gli ETF incontra le vendite
I bot MEV hanno un problema di fiducia
Il colpo ha bruciato perché il bot figura tra le macchine di profitto più odiate nel crypto, attivo dal 2023 e si dice che abbia incassato decine di milioni da trader che non hanno mai visto gli ordini chiudersi attorno ai loro swap.
Il suo operatore è da tempo tra i maggiori spender in gas su Ethereum, arrivando talvolta a bruciare più di duecento Ether in un solo giorno per conquistare la posizione in testa a ogni blocco.
I ricercatori collegano circa il 70% di tutti i sandwich-attack su Ethereum al bot, una pratica che si stima costi ai trader sulla rete circa 60 milioni di dollari o più ogni anno. Pochi hanno provato molta simpatia. Un sandwich bot inserisce un ordine appena prima di una trade in sospeso e un altro subito dopo, quindi incassa lo scarto di prezzo che ha creato come una tassa invisibile sugli utenti comuni, che raramente se ne accorgono.
L’investitore crypto David Gokhshtein ha messo in guardia dal festeggiare, pur ammettendo che chiunque sia mai stato “sandwicciato” dal bot ora faticherebbe a provare pietà per lui. Parte dei fondi rubati è già transitata attraverso Tornado Cash.
Il prosciugamento chiude una corsa lunga e aggressiva. A maggio, il bot ha fatto sandwich su Vitalik Buterin, cofondatore di Ethereum, durante un piccolo swap di token, segno che persino i wallet di punta avevano attirato la sua attenzione, per quanto piccola fosse quella perdita. La perdita di sabato ha segnato un fallimento raro e costoso per un’operazione che era andata avanti quasi indisturbata per oltre due anni, e gli investigatori stanno ancora tracciando dove sia finito il resto.
Da leggere dopo: Perché Trump ha attenuato la sua posizione sulla minaccia di Anthropic dopo il G7?





