Vânătorul Devine Pradă: Cum a fost jefuit cel mai de temut bot din crypto de 7,5 Milioane $ (Și de ce Karma lucrează On-Chain)

„Jaredfromsubway”, cel mai faimos și agresiv bot MEV (Maximal Extractable Value) din rețeaua Ethereum, tocmai a fost exploatat pentru peste 7,5 milioane de dolari. Fondurile furate au fost deja „spălate” prin Tornado Cash. Partea fascinantă a acestui jaf digital este că atacatorul nu a folosit nicio breșă de securitate din contractele inteligente (smart contract bug) și nici tactici de phishing. În schimb, a folosit lăcomia pură a algoritmului împotriva sa, manipulând sistemul automat de execuție.
Cine a tranzacționat vreodată pe Uniswap a auzit, probabil, de el. „Jaredfromsubway” este un algoritm care analizează tranzacțiile în așteptare și le „prinde la mijloc” (sandwich attack) pentru a fura o fracțiune de profit din fiecare mutare făcută de utilizatorii obișnuiți. Ani la rând, a strâns averi uriașe pe spatele retailului.
Astăzi, arhitectul acestui bot a primit o lecție brutală: un alt prădător, mult mai tăcut, i-a întins o capcană matematică perfectă.
Anatomia Jafului: Cum otrăvești un algoritm
În lumea financiară tradițională, manipulezi oamenii prin emoții. În Web3, manipulezi roboții prin date false. Atacatorul a înțeles exact cum gândește botul „Jared” și a creat un labirint în 5 pași din care acesta nu a mai putut ieși:
Momeala (Fake Pools): Atacatorul a creat monede false (fake tokens) și fonduri de lichiditate iluzorii care păreau extrem de profitabile la prima vedere.
Otrăvirea Permisiunilor (The Approval Trap): Lăcomia botului l-a făcut să se arunce asupra acestor fonduri pentru a extrage profit. În acest proces automat, botul a fost păcălit să aprobe (funcția approve) contractele controlate de atacator, dându-le dreptul de a-i cheltui fondurile.
Adormirea Vigilenței: Pentru a nu declanșa sistemele de alertă ale creatorilor botului, atacatorul a consumat inițial aceste permisiuni imediat, mimând un comportament normal de tranzacționare.
Ușa din Spate (Backdoor): Mai târziu, atacatorul a început să lase aceste aprobări active, construind o autostradă invizibilă direct către rezervele botului.
Execuția (Drain): Odată ce ușa a fost deschisă și permisiunile acumulate, atacatorul a apăsat pe trăgaci. A folosit funcția transferFrom() pentru a goli portofelul botului de $WETH, $USDC și $USDT.
Suma finală? Peste 7,5 milioane de dolari, bani pe care atacatorul i-a trimis rapid în mixerul Tornado Cash pentru a-și șterge urmele.
Lecția pentru Industrie
Acest eveniment istoric on-chain ne arată că automatizarea vine cu riscuri uriașe. Când oferi unui cod libertatea absolută de a semna tranzacții și de a aproba contracte pentru a fi cel mai rapid de pe piață, îl lași orb în fața ingineriei sociale algoritmice.
Astăzi, retailul aplaudă. Cel mai mare „vânător” de pe Ethereum a devenit, în sfârșit, lichiditate de ieșire pentru altcineva.
Rămâi în fața pieței
Alătură-te comunității și primește analize exclusive, alerte de lichiditate și oportunități crypto direct în inbox.
Știri Recomandate

ULTIMA ZI! Termenul limită MiCA expiră la miezul nopții. Exchange-ul tău este pe lista albă?
Citește articolul
ALERTĂ: USDT devine indisponibil pe platformele licențiate MiCA din 1 iulie. Iată cum să îți protejezi banii
Citește articolul