Le bot MEV Ethereum JaredFromSubway a perdu environ 7,5 millions de dollars dimanche après que des contrats contrôlés par un attaquant ont trompé son système d'exécution automatisé en lui faisant accorder des approbations de tokens, selon la société de sécurité blockchain Blockaid. L'attaquant a ensuite utilisé ces autorisations pour drainer des WETH, USDC et USDT du portefeuille du bot.
Blockaid a souligné que l'incident n'était ni une attaque de phishing ni une vulnérabilité de smart contract — l'exploit a ciblé la détection automatisée d'opportunités MEV et le mécanisme d'approbation du bot, soit précisément l'infrastructure conçue pour capter le flux de sandwich et d'arbitrage sur Ethereum.
Why it matters
JaredFromSubway figure parmi les bots MEV les plus actifs et les plus connus sur Ethereum, ayant extrait des dizaines de millions de dollars de profits au cours de sa durée de vie. Une perte de 7,5 M$ pour un seul bot est un événement on-chain significatif, mais la lecture structurelle va plus loin : lorsque le même schéma d'approbation automatisée qui permet à un bot d'agir vite sur les opportunités MEV peut être retourné contre le bot lui-même, la surface d'attaque pour l'écosystème MEV au sens large s'élargit.
Market impact
Les actifs drainés étaient principalement des stablecoins et de l'ETH wrappé, ce qui signifie que l'impact se répercute sur les opérateurs du bot plutôt que sur le profil de liquidité d'un token spécifique. La grille de lecture de Blockaid — exploit de la logique d'approbation, pas vulnérabilité du protocole — laisse les contrats WETH, USDC et USDT inchangés. À surveiller : les bots MEV concurrents vont-ils resserrer les plafonds de dépenses d'approbation ou faire tourner leur infrastructure de signeurs en réaction ; une vague d'imitateurs visant des stratégies automatisées similaires est le risque de second ordre réaliste.
Questions fréquemment posées
-
Que s'est-il passé avec le bot MEV JaredFromSubway ?
Le bot MEV Ethereum JaredFromSubway a perdu environ 7,5 millions de dollars après que des contrats contrôlés par un attaquant ont trompé son système d'exécution automatisé en lui faisant accorder des approbations de tokens, que l'attaquant a ensuite utilisées pour drainer des WETH, USDC et USDT.
-
S'agissait-il d'un piratage de smart contract ou d'une attaque de phishing ?
Non. Selon Blockaid, l'incident n'était ni un phishing ni une vulnérabilité de smart contract — il a exploité le propre mécanisme automatisé de détection d'opportunités MEV et d'approbation du bot.
-
Quels tokens ont été volés à JaredFromSubway ?
L'attaquant a drainé des WETH, USDC et USDT du portefeuille du bot en utilisant les autorisations de tokens qu'il avait réussi à lui faire accorder.
-
Cet exploit affecte-t-il les protocoles WETH, USDC ou USDT ?
Non. Blockaid présente l'incident comme une exploitation de la logique d'approbation du bot, et non comme une vulnérabilité des contrats de tokens eux-mêmes — WETH, USDC et USDT restent inchangés au niveau du protocole.
-
Pourquoi cet exploit est-il significatif pour l'écosystème MEV ?
JaredFromSubway est l'un des bots MEV les plus actifs et les plus rentables sur Ethereum. L'attaque montre que la même infrastructure d'approbation automatisée qui permet aux bots MEV d'agir vite peut être retournée contre eux, élargissant la surface d'attaque pour des stratégies automatisées similaires.
TheBlock
Lookonchain
CoinTelegraph
CoinDesk