목차
비녀장개인 개인 투자자"세금"을 부과하여 수익을 올리던 MEV 봇이 이제 개인 투자자 사기의 희생양이 되었습니다. 이더 블록체인 온체인 샌드위치 공격 봇으로 악명 높았던 JaredFromSubway는 최근 정교한 역함정을 설치한 공격자에 의해 약 750만 달러 상당의 WETH, USDC, USDT를 잃었습니다.
보안 회사인 블록에이드는 해당 사건을 즉시 태그, 이 취약점이 스마트 계약 코드의 결함, 피싱 또는 개인 키 유출에서 비롯된 것이 아니라 공격자가 봇의 탐욕스러운 논리를 악용하여 발생시킨 것이라고 강조했습니다.
66건의 가짜 계약, 단 한 번의 결정적인 승리를 위해 몇 주에 걸쳐 치밀하게 계획된 작전.
공격자는 몇 주에 걸쳐 준비 작업을 진행했습니다. 그는 Wrapped Ether(WETH), USD Coin(USDC), Tether(USDT) 등 세 가지 주요 자산의 형태를 정확하게 모방한 가짜 토큰 계약 66개를 배포했습니다.
JaredFromSubway의 핵심 로직은 이더 메모리 풀을 지속적으로 스캔하여 유동성이 높은 토큰에 대한 차익 거래 경로를 자동으로 식별하고 추적하는 것입니다. 이러한 가짜 계약은 봇에게 실제 경로와 동일하게 보이므로, 봇은 평소처럼 기회를 포착하고 공격자가 제어하는 보조 계약으로 토큰을 즉시 지급하도록 승인합니다.
Blockaid는 "공격자가 제어하는 계약이 자동화된 MEV 실행 시스템을 속여 토큰 권한을 획득했고, 이를 이용해 자금을 인출했다"고 밝혔습니다. 단 한 번의 권한 획득으로 92 WETH가 넘는 금액이 인출되었습니다. 최종 계약은 이러한 권한을 사용하여 봇 지갑에 있는 모든 실제 자산을 한 번에 인출했습니다. 온체인 거래 내역은 Etherscan 에서 확인할 수 있습니다.
"수확자"에서 "수확된"으로
2023년 초 활동을 시작한 JaredFromSubway는 수십만 건의 샌드위치 공격을 실행했으며, 최고 수익은 3,400만 달러에서 4,000만 달러에 달하는 것으로 추정됩니다. MEV의 인기가 절정에 달했을 당시, 이더 매달 발생하는 모든 샌드위치 공격의 약 70%가 이 봇에서 비롯되었습니다.
그 악명은 비탈릭 부테린 본인에게까지 미쳤습니다. 2026년 5월, JaredFromSubway는 114만 달러 상당의 WETH를 사용하여 비탈릭의 토큰 거래소를 샌드위치 공격했습니다.
이러한 역전에는 강한 '업보'의 의미가 담겨 있습니다. 로봇의 경쟁 우위는 속도와 공격성에 있었지만, 공격자들은 이 두 가지 장점을 약점으로 이용했습니다. 로봇이 더 빨리 반응할수록 함정에 더 빨리 빠지게 되는 것입니다.
이와 유사한 "MEV 봇 사냥" 사건은 이번이 처음이 아닙니다. 2023년에도 악의적인 검증자가 동일한 수법을 사용하여 여러 샌드위치 봇으로부터 약 2,500만 달러를 훔친 적이 있습니다. 이번에는 단일 공격 지점이 아닌 수십 개의 가짜 계약을 사용하는 등 더욱 정교한 수법을 사용했습니다.
손실 규모가 불확실한데, 백만 달러의 보상금을 되찾을 수 있을까?
Blockaid와 PeckShield의 온체인 분석 결과 손실액은 약 750만 달러로 추산되었습니다. 그러나 JaredFromSubway의 설계자는 간접적인 온체인 손실까지 포함하면 총 손실액이 1,500만 달러에 육박할 수 있다고 주장했습니다. 그는 공격자들이 자금을 반환하는 조건으로 100만 달러의 현상금을 제시했습니다.
역사적으로 볼 때, 현재 이 돈을 돌려받을 가능성은 높지 않습니다.
관련 보고서
Popular Science | 이더 의 "어둠의 숲"으로 알려진 MEV 채굴자의 클레임 가치는 얼마일까요?
Four.Meme에 대한 13만 달러 규모의 해킹 사건은 어떻게 발생했으며, 이로 인해 "밈 코인 출시가 중단"된 것일까요? 이는 CZ에 대한 노골적인 모욕입니다.
