Community Trust ScoreVérifié
Un des bots MEV les plus actifs d’Ethereum vient de se faire piéger. JaredFromSubway.eth—un bot avec 6,4 millions de transactions à son actif—a marché droit dans un piège et perdu 7,5 millions de dollars en crypto, drainés sur près de 100 blocs par un attaquant qui savait exactement comment le bot pensait.
L’enquêteur blockchain Specter a été le premier à repérer l’activité suspecte. Les chiffres sont assez brutaux : environ 1 475 WETH (valant environ 2,6 millions de dollars à l’époque), 2,9 millions de dollars en USDC, et 2 millions de dollars en USDT ont été retirés du portefeuille du bot. L’adresse ciblée, étiquetée « jaredfromsubway: MEV Bot 2 » sur Etherscan, fonctionnait depuis août 2024. C’est la deuxième itération d’un bot qui a construit toute son activité autour du « sandwiching »—une stratégie où le bot repère une transaction en attente, la devance, puis vend lors de la hausse de prix qu’il a provoquée. Rentable, oui. Aimé par la communauté ? Pas vraiment.
Comment le piège a réellement fonctionné
L’attaquant n’a rien forcé. Le développeur de Yearn, Banteg, a expliqué la mécanique : sur 97 blocs Ethereum, l’attaquant a agité ce qui ressemblait à de petites opportunités de sandwich faciles impliquant de fausses paires de tokens. Le bot a mordu à l’hameçon. Encore et encore. Chaque transaction semblait correcte en surface—juste un autre jeu de sandwich de routine. Mais chacune d’elles a également amené le bot à approuver les contrats de l’attaquant pour accéder à ses avoirs en WETH, USDC et USDT.
C’est la partie clé. Les approbations se sont accumulées discrètement, bloc par bloc, jusqu’à ce que l’attaquant ait tout ce dont il avait besoin. Puis est venu le coup final : un retrait massif qui a vidé le portefeuille. Le bot a essentiellement remis les clés lui-même, une petite approbation à la fois. Lent, patient, et apparemment très bien planifié.
Quatre-vingt-dix-sept blocs. Ce n’est pas un coup de force. C’est un siège.
Arnaques, récompenses, et « bien joué »
Après que le piratage soit devenu public, le chaos a commencé rapidement. Un compte X récemment renommé « jaredsmev » a commencé à publier de fausses offres de récompense, prétendant offrir entre 1 million et 7,5 millions de dollars pour des informations. Au moins un grand média crypto a brièvement partagé l’une de ces offres frauduleuses avant de la retirer. La confusion autour de la perte totale a facilité la tâche des escrocs pour semer le doute.
Le véritable opérateur de JaredFromSubway.eth a pris une autre voie. Par un message sur la chaîne—sans intermédiaires, juste une transaction directe sur la blockchain—l’opérateur a contacté l’attaquant. Le message a commencé par « Bien joué », ce qui est soit un respect sincère, soit le compliment le plus frustré de l’histoire de la DeFi. Probablement les deux. L’opérateur a demandé le retour de 2 150 ETH, ce qui représente environ la moitié des fonds volés, et a donné à l’attaquant 48 heures pour se conformer. Une action en justice était envisagée si le délai passait sans réponse.
Aucune réponse n’est venue. Du moins pas publiquement.
Et puis il y a l’angle Robin des Bois. Certains utilisateurs qui avaient précédemment été pris en sandwich par le bot de JaredFromSubway.eth ont contacté directement l’attaquant, demandant des remboursements. Quelques-uns ont salué l’ensemble de l’opération comme une sorte de justice sommaire. Les bots MEV ne sont pas exactement populaires—ils extraient de la valeur des traders ordinaires sans beaucoup redonner—donc la réaction de la communauté a été partagée. Certains ont qualifié l’attaque de brillante et méritée. D’autres ont souligné que célébrer un vol, même contre un bot qu’ils n’aiment pas, établit un précédent compliqué pour les normes de sécurité de la DeFi.
L’opérateur, pour sa part, a continué à s’engager sur la chaîne. Rare de voir ce niveau de communication directe dans une situation comme celle-ci, mais c’est l’une des caractéristiques étranges de la finance décentralisée—quand quelque chose tourne mal, les parties impliquées peuvent discuter directement via la blockchain elle-même, sans avocats nécessaires au premier tour.
Le silence de l’attaquant rend tout plus obscur. Pas de déclaration publique, pas de réponse à l’offre de récompense, pas de reconnaissance des messages sur la chaîne. Que les 2 150 ETH soient jamais revenus n’est pas clair. Le délai de 48 heures fixé par l’opérateur est depuis longtemps dépassé, et le statut des fonds n’était pas confirmé dans le matériel source.
Ce qui n’est pas obscur : le bot a approuvé ces contrats lui-même. L’attaquant a trouvé un moyen de retourner la stratégie de sandwich contre le fabricant de sandwichs, utilisant la patience et de fausses paires de tokens au lieu de toute exploitation évidente. Les bots MEV opèrent dans un coin compétitif et largement non réglementé de la DeFi, et cela a toujours comporté des risques. C’est juste que le risque coule habituellement dans l’autre sens—vers les traders réguliers qui se font devancer à chaque échange.
Le message sur la chaîne de l’opérateur s’est terminé par un avertissement de conséquences légales. Le portefeuille de l’attaquant détenait 7,5 millions de dollars.
Hub : Prix, actualités et analyses de l’USDC
Hub: USDC : prix, actualités et analyse
Questions Fréquentes
Qu’est-ce que JaredFromSubway.eth a exactement perdu dans l’attaque ?
Le bot a perdu environ 1 475 WETH (environ 2,6 millions de dollars), 2,9 millions de dollars en USDC, et 2 millions de dollars en USDT, totalisant 7,5 millions de dollars extraits sur 97 blocs Ethereum.
Quelle récompense l’opérateur du bot a-t-il offert à l’attaquant ?
L’opérateur a envoyé un message sur la chaîne proposant d’accepter le retour de 2 150 ETH—environ la moitié des fonds volés—dans les 48 heures, et a averti d’une action en justice si le délai n’était pas respecté.
