Um dos bots MEV mais bem-sucedidos do mercado de criptomoedas, o Jaredfromsubway.eth, foi alvo de um ataque que explorou as vulnerabilidades dos sistemas automatizados do bot, os mesmos que lhe renderam centenas de milhões ao longo dos anos.
Segundo a Blockaid, o incidente de sábado resultou de contratos controlados pelo atacante que enganaram o bot do sistema de execução automatizado MEV (valor máximo extraível) do Jaredfromsubway.eth, levando-o a conceder aprovações de tokens que foram posteriormente usadas para drenar fundos.
“Este não é um ataque de phishing clássico nem uma vulnerabilidade tradicional de contrato inteligente no contrato da vítima”, disse a Blockaid no X.
Trata-se de um raro revés para bots MEV como o Jaredfromsubway.eth, que são programas automatizados que monitoram transações não confirmadas em redes blockchain e manipulam sua ordem para obter lucro , uma espécie de “imposto invisível” para usuários de DeFi.
Uma pesquisa anterior da Cointelegraph Research descobriu que ataques do tipo “sanduíche” no Ethereum resultaram em perdas anuais de cerca de US$ 60 milhões para os investidores. A pesquisa também constatou que, entre novembro de 2024 e outubro de 2025, ocorreram de 60.000 a 90.000 ataques desse tipo por mês, com aproximadamente 70% deles associados ao domínio Jaredfromsubway.eth.
Como Jaredfromsubway.eth foi explorado
“Este foi um ataque honeypot contra o MEV, pois teve como alvo específico a lógica de tomada de decisão automatizada e com confiança minimizada que os bots do MEV utilizam”, disse Raz Niv, diretor de tecnologia da Blockaid, ao Cointelegraph.
Ao longo de várias semanas, o atacante implantou 66 contratos de tokens falsos que imitavam os nomes e interfaces do Wrapped ETH (WETH), USDC (USDC) e USDt (USDT) e, em seguida, os combinou com pools de liquidez falsos, disse Niv.
As transações falsas foram projetadas para parecerem negociações lucrativas, o tipo de negócio que os bots MEV são programados para perseguir. Isso levou o bot de Jaredfromsubway a fazer o que foi programado para fazer: aprovar certos contratos auxiliares controlados pelo atacante para gastar dinheiro real em seu nome.
“Ironicamente, nesse processo, o atacante teve acesso a milhões no tesouro do bot”, acrescentou.
“E então, em uma única transação, o atacante explorou todas as 66 portas traseiras e retirou todo o ETH, USDC e USDT desses endereços, totalizando milhões de dólares.”
De acordo com dados da blockchain, parte dos fundos roubados já foi enviada para o serviço de mistura de criptomoedas Tornado Cash .
Em maio, o cofundador do Ethereum, Vitalik Buterin, foi vítima de um ataque sanduíche do grupo Jaredfromsubway.eth enquanto trocava 26.544 DigitalBits (equivalentes a US$ 2,11 na época da redação deste texto). As perdas foram mínimas, mas demonstram que até mesmo as menores transações podem ser alvo de bots MEV.
“Não deveríamos ficar felizes com isso; ninguém deveria comemorar… mas se você já esteve no meio disso… tenho quase certeza de que não está chateado com essa notícia”, disse o investidor e comentarista de criptomoedas David Gokhshtein .