DEFI & WEB3 22 iun. 2026 5 min citire 0 vizualizări Știrile Crypto • Redacție

Vânătorul Devine Pradă: Cum a fost jefuit cel mai de temut bot din crypto de 7,5 Milioane $ (Și de ce Karma lucrează On-Chain)

Vânătorul Devine Pradă: Cum a fost jefuit cel mai de temut bot din crypto de 7,5 Milioane $ (Și de ce Karma lucrează On-Chain)

„Jaredfromsubway”, cel mai faimos și agresiv bot MEV (Maximal Extractable Value) din rețeaua Ethereum, tocmai a fost exploatat pentru peste 7,5 milioane de dolari. Fondurile furate au fost deja „spălate” prin Tornado Cash. Partea fascinantă a acestui jaf digital este că atacatorul nu a folosit nicio breșă de securitate din contractele inteligente (smart contract bug) și nici tactici de phishing. În schimb, a folosit lăcomia pură a algoritmului împotriva sa, manipulând sistemul automat de execuție.

Cine a tranzacționat vreodată pe Uniswap a auzit, probabil, de el. „Jaredfromsubway” este un algoritm care analizează tranzacțiile în așteptare și le „prinde la mijloc” (sandwich attack) pentru a fura o fracțiune de profit din fiecare mutare făcută de utilizatorii obișnuiți. Ani la rând, a strâns averi uriașe pe spatele retailului.

Astăzi, arhitectul acestui bot a primit o lecție brutală: un alt prădător, mult mai tăcut, i-a întins o capcană matematică perfectă.

Anatomia Jafului: Cum otrăvești un algoritm

În lumea financiară tradițională, manipulezi oamenii prin emoții. În Web3, manipulezi roboții prin date false. Atacatorul a înțeles exact cum gândește botul „Jared” și a creat un labirint în 5 pași din care acesta nu a mai putut ieși:

  1. Momeala (Fake Pools): Atacatorul a creat monede false (fake tokens) și fonduri de lichiditate iluzorii care păreau extrem de profitabile la prima vedere.

  2. Otrăvirea Permisiunilor (The Approval Trap): Lăcomia botului l-a făcut să se arunce asupra acestor fonduri pentru a extrage profit. În acest proces automat, botul a fost păcălit să aprobe (funcția approve) contractele controlate de atacator, dându-le dreptul de a-i cheltui fondurile.

  3. Adormirea Vigilenței: Pentru a nu declanșa sistemele de alertă ale creatorilor botului, atacatorul a consumat inițial aceste permisiuni imediat, mimând un comportament normal de tranzacționare.

  4. Ușa din Spate (Backdoor): Mai târziu, atacatorul a început să lase aceste aprobări active, construind o autostradă invizibilă direct către rezervele botului.

  5. Execuția (Drain): Odată ce ușa a fost deschisă și permisiunile acumulate, atacatorul a apăsat pe trăgaci. A folosit funcția transferFrom() pentru a goli portofelul botului de $WETH, $USDC și $USDT.

Suma finală? Peste 7,5 milioane de dolari, bani pe care atacatorul i-a trimis rapid în mixerul Tornado Cash pentru a-și șterge urmele.

Lecția pentru Industrie

Acest eveniment istoric on-chain ne arată că automatizarea vine cu riscuri uriașe. Când oferi unui cod libertatea absolută de a semna tranzacții și de a aproba contracte pentru a fi cel mai rapid de pe piață, îl lași orb în fața ingineriei sociale algoritmice.

Astăzi, retailul aplaudă. Cel mai mare „vânător” de pe Ethereum a devenit, în sfârșit, lichiditate de ieșire pentru altcineva.

Rămâi în fața pieței

Alătură-te comunității și primește analize exclusive, alerte de lichiditate și oportunități crypto direct în inbox.

Autor: Știrile Crypto • Redacție
Distribuie analiza:

Știri Recomandate