Jaredfromsubway.eth, un bot MEV de premier plan, a perdu plus de 7,5 millions de dollars après qu'un attaquant a détourné son système d'exécution automatisé samedi, forçant le bot à accorder des approbations de jetons qui ont ensuite été siphonnées.
Mécaniques d'attaque
L'agresseur a introduit des jetons d'emballage et des pools de liquidité contrefaits, notamment du faux Wrapped Ether (fWETH), du faux USDC (fUSDC), du faux USDT (fUSDT) et un faux jeton Cap (fCAP). Ces actifs synthétiques imitent des voies d'arbitrage rentables, incitant Jaredfromsubway.eth à les approuver automatiquement. Une fois les approbations en place, l'attaquant a transféré les actifs autorisés, vidant ainsi les avoirs du robot.
Conséquences sur le marché
Blockaid a précisé que la violation ne correspond pas au profil d'un système de phishing classique ni d'une faille conventionnelle dans les contrats intelligents, mettant en évidence un nouveau vecteur d'exploitation de l'automatisation MEV. Cointelegraph Research estime que les attaques sandwich sur Ethereum génèrent environ 60 millions de dollars de pertes annuelles pour les traders, avec des occurrences mensuelles entre novembre 2024 et octobre 2025 allant de 60 000 à 90 000. Environ 70 % de ces attaques sont liées à Jaredfromsubway.eth, soulignant l'influence considérable du robot sur le marché de la cryptographie.
Perspectives futures
Les investisseurs scrutent désormais la sécurité des robots MEV haute fréquence, craignant que des exploits similaires puissent éroder la confiance dans les plateformes DeFi. L’incident sert d’avertissement aux développeurs de blockchain pour renforcer les mécanismes d’approbation automatisés contre les interactions contractuelles trompeuses. La surveillance continue par les sociétés de sécurité vise à éviter des fuites comparables, préservant ainsi la stabilité de l'écosystème cryptographique plus large.