Mục lục lục
ToggleBot MEV, vốn kiếm sống bằng cách "thu thuế"nhà đầu tư bán lẻ nhỏ lẻ, giờ đây lại trở thành nạn nhân của một vụ lừa đảo nhà đầu tư bán lẻ . JaredFromSubway, một bot tấn công sandwich " có tiếng trên Chuỗi Ethereum , gần đây đã bị mất khoảng 7,5 triệu đô la Mỹ giá trị WETH, USDC và USDT bởi một kẻ tấn công đã tạo ra một bẫy ngược tinh vi.
Công ty bảo mật Blockaid ngay lập tức đánh dấu sự cố này, nhấn mạnh rằng lỗ hổng không bắt nguồn từ các lỗi trong mã hợp đồng thông minh, Phishing hay rò rỉ private key, mà là do kẻ tấn công lợi dụng chính logic tham lam của bot để chống lại nó.
66 hợp đồng giả, một kế hoạch được vạch ra trong nhiều tuần để đạt được một chiến thắng duy nhất, quyết định.
Kẻ tấn công đã chuẩn bị trong nhiều tuần. Hắn đã triển khai 66 hợp đồng token giả mạo, bắt chước chính xác hình thức của ba loại tài sản: Wrapped Ether (WETH), USD Coin (USDC) và Tether (USDT).
Logic cốt lõi của JaredFromSubway là liên tục quét vùng nhớ Ethereum , tự động xác định và theo dõi các đường giao dịch chênh lệch giá đối với token thanh khoản cao. Các hợp đồng giả mạo này trông giống hệt các đường giao dịch thực đối với bot, khiến bot "ngửi thấy" cơ hội như thường lệ và ngay lập tức phê duyệt việc phân phối token cho một hợp đồng phụ do kẻ tấn công kiểm soát.
Blockaid cho biết: "Một hợp đồng do kẻ tấn công điều khiển đã đánh lừa hệ thống thực thi MEV tự động cấp quyền truy cập token, sau đó được sử dụng để rút tiền." Chỉ một lần cấp quyền duy nhất đã dẫn đến việc rút hơn 92 WETH. Hợp đồng cuối cùng đã sử dụng các quyền được cấp này để xóa sạch tất cả tài sản thực từ ví của bot chỉ trong một lần. Các giao dịch Chuỗi có thể được xem trên Etherscan .
Từ "máy gặt" đến "đã thu hoạch"
Kể từ khi hoạt động vào đầu năm 2023, JaredFromSubway đã thực hiện hàng trăm lần tấn công sandwich" , với thu nhập cao nhất lợi nhuận từ 34 triệu đến 40 triệu đô la. Vào thời kỳ đỉnh cao của sự phổ biến của MEV, khoảng 70% tấn công sandwich" Ethereum mỗi tháng đều bắt nguồn từ bot này.
Sự tai tiếng của nó thậm chí còn lan đến cả Vitalik Buterin. Vào tháng 5 năm 2026, JaredFromSubway đã thực hiện tấn công sandwich" vào sàn giao dịch token của Vitalik, sử dụng hơn 1,14 triệu đô la WETH để "sandwich" nó.
Sự đảo ngược tình thế này mang đậm ý nghĩa "nghiệp báo": lợi thế cạnh tranh của robot nằm ở tốc độ và sự hung hăng, trong khi những kẻ tấn công đã biến hai điểm này thành điểm yếu. Robot phản ứng càng nhanh, nó càng sớm rơi vào bẫy.
Đây không phải là lần đầu tiên xảy ra sự cố "săn lùng bot MEV" tương tự. Năm 2023, một trình xác thực độc hại đã sử dụng cùng một logic để đánh cắp khoảng 25 triệu đô la từ nhiều bot "sandwich"; lần này phương pháp tinh vi hơn, sử dụng hàng chục hợp đồng giả mạo thay vì chỉ một điểm tấn công duy nhất.
Mức độ thiệt hại là điều đáng ngờ; liệu khoản tiền thưởng một triệu đô la có thể được thu hồi hay không?
Cả hai phân tích Chuỗi của Blockaid và PeckShield đều ước tính thiệt hại vào khoảng 7,5 triệu đô la. Tuy nhiên, người thiết kế JaredFromSubway sau đó tuyên bố rằng nếu tính cả thiệt hại gián tiếp Chuỗi, tổng thiệt hại sẽ lên tới gần 15 triệu đô la. Ông đã treo thưởng 1 triệu đô la với điều kiện những kẻ tấn công phải trả lại số tiền.
Tuy nhiên, xét về lịch sử, khả năng lấy lại số tiền này hiện nay không cao.
Các báo cáo liên quan
Phổ cập | Giá trị rút của thợ đào MEV trong "rừng tối" của Ethereum là gì?
