JaredFromSubway.eth は、Ethereum (ETH) 上で最も悪名高いサンドイッチ攻撃ボットの一つだが、その自動売買ロジックを逆手に取られ、750万ドル超を奪われた。
重要ポイント:
- JaredFromSubway.eth は、自動売買システムが攻撃者管理のコントラクトを承認した結果、750万ドル超を失った。
- 攻撃者は数週間にわたり、ボットをおびき寄せるために66種類の偽トークンと不正な流動性プールを仕込んだ。
- 盗まれた資金の一部は Tornado Cash を経由しており、攻撃者の正体はいまだ不明のままだ。
ハニーポット罠で資金を吸い尽くされた JaredFromSubway.eth
コード自体は破られていない。
このボットは土曜日、自動システムが攻撃者管理のコントラクトに対してトークン使用許可を与えてしまい、自らのトレジャリーの鍵を渡す形となって空になった。セキュリティ企業 Blockaid はこのインシデントを検知し、フィッシング詐欺でもなければ、資金が引き出された被害コントラクト内部の脆弱性でもないと結論づけた。
Blockaid の最高技術責任者である Raz Niv は、この手口をカウンターMEV型ハニーポットだと説明した。これは、自動売買トレーダーが静かに依存している、信頼最小化ロジックを逆利用するために構築された罠であり、ボットが本来追いかけるターゲットそのものを狙っていた。
攻撃者は数週間かけて、Wrapped Ether、USDC (USDC)、Tether (USDT) の名称をコピーした66種類の偽トークンを仕込み、それらを偽の流動性プールとペアにした。これらのプールは簡単な裁定取引チャンスのように見え、ボットがメンプールを監視して各ブロックでフロントランしようと探し回る、まさにそのタイプの利益機会だった。最終的に一つのトランザクションが3つのトークンをまとめて吸い上げた。
関連記事: XRPは1.44BドルETF需要と売り圧力の綱引きでレバレッジ限界を試される
MEVボットが抱える「信頼」の問題
今回の逆襲が痛烈だったのは、このボットが 2023 年から稼働し、スワップ注文を囲い込まれたトレーダーが気づかないうちに、数千万ドル規模をかすめ取ってきたとされる、暗号資産界でも屈指の「嫌われ者」収益マシンとして知られているからだ。
オペレーターは長らく Ethereum で最もガスを消費するアドレスの一つであり、ブロック先頭のポジションを取るために、1日に200 Ether超を燃やすこともあった。
研究者らは、Ethereum 上のサンドイッチ攻撃全体の約70%がこのボットに紐づくと見ており、この手法によってネットワーク全体のトレーダーが毎年少なくとも6,000万ドル規模の損失を被っていると推計している。同情の声がほとんど上がらないのも無理はない。サンドイッチボットは、一つの注文をペンディング中のトレードの直前に、もう一つをその直後に差し込み、自ら作り出した価格差を「目に見えない税金」として懐に入れる。一般ユーザーはそれに気づかないことがほとんどだ。
暗号資産投資家の David Gokhshtein は、祝賀ムードに水を差しつつも、過去にこのボットにサンドイッチされた誰もが、いまこの損失を気の毒に思うのは難しいだろうと認めた。盗まれた資金の一部はすでに Tornado Cash を通過している。
この流出は、長く攻撃的な稼働期間に区切りを付ける出来事となった。5月には、このボットは Ethereum 共同創設者 Vitalik Buterin が行った小規模なトークンスワップをサンドイッチしており、損失額こそ小さいものの、看板級ウォレットさえも標的にされていたことを示していた。土曜日の流出は、2年以上ほぼ無傷で走り続けてきたこのオペレーションにとって、まれで高くついた失敗例となり、調査員らはいまも残りの資金の行方を追っている。
次に読む: Why Did Trump Ease His Anthropic Threat View After G7?





