Le bot MEV d’Ethereum jaredfromsubway.eth perd 7,5 millions de dollars à cause d’une attaque par contre-piège à la ruche (counter-honeypot)

jaredfromsubway.eth, le bot de trading de sandwich le plus actif sur Ethereum, a perdu environ 7,5 millions de dollars en WETH, USDC et USDT le week-end dernier après qu’un attaquant a exploité sa logique de trading automatisée via une seule transaction le samedi. La société de sécurité Blockaid a attribué cette perte à une attaque de type contre-MEV « honeypot », impliquant 66 contrats de jetons factices qui ont manipulé le bot pour qu’il accorde des autorisations de jetons à des contrats « helper » malveillants. L’incident constitue un cas rare où un bot MEV prédateur devient une victime : auparavant, le bot était lié à environ 70% des attaques par sandwich sur Ethereum—une pratique estimée coûter aux traders environ 60 millions de dollars par an.

L’attaquant a déployé 66 faux contrats de jetons sur plusieurs semaines

Sur plusieurs semaines, l’attaquant a déployé 66 contrats de jetons contrefaits imitant Wrapped ETH, USDC et USDT, chacun associé à des pools de liquidité factices conçus pour sembler représenter des transactions rentables. Ces signaux ont trompé le système d’exécution automatisée du bot, le poussant à accorder des autorisations de jetons à des contrats « helper » qu’il aurait normalement approuvés.

L’attaquant a d’abord testé des routes où les autorisations étaient consommées immédiatement, puis a affiné la méthode pour laisser les autorisations ouvertes et non révoquées, créant ainsi une vulnérabilité persistante. Une fois les droits de dépense obtenus sur les 66 backdoors, l’attaquant les a appelées en une seule transaction pour vider le bot. Comme les autorisations étaient accordées par le bot lui-même, les transferts ne nécessitaient ni clés volées, ni faille dans un protocole sous-jacent.

Raz Niv, directeur de la technologie chez Blockaid, a qualifié l’incident d’« attaque honeypot contre-MEV » visant la logique de décision automatisée du bot. L’opérateur du bot a affirmé des pertes plus proches de 15 millions de dollars, un chiffre qui n’a pas été confirmé de manière indépendante.

Bot lié à 70% des attaques par sandwich sur Ethereum

jaredfromsubway.eth a longtemps attiré l’attention pour ses attaques par sandwich, dans lesquelles un bot fait du front-running et du back-running d’une transaction en attente afin de capter de la valeur aux dépens d’utilisateurs ordinaires. Des recherches on-chain l’ont lié à environ 70% des attaques par sandwich entre novembre 2024 et octobre 2025, dans le cadre d’une pratique estimée à coûter environ 60 millions de dollars par an aux traders d’Ethereum.

Le bot s’est classé parmi les plus gros consommateurs de gaz du réseau pendant des années : cette empreinte en a fait l’une des adresses les plus étroitement suivies sur Ethereum.

FAQ

Que s’est-il passé pour le bot jaredfromsubway.eth le week-end dernier ?

Le bot jaredfromsubway.eth a perdu environ 7,5 millions de dollars en WETH, USDC et USDT samedi après qu’un attaquant a utilisé 66 faux contrats de jetons pour tromper le bot et l’amener à accorder des autorisations de jetons à des contrats « helper » malveillants, lesquels ont ensuite été utilisés pour vider les fonds en une seule transaction.

Comment l’attaquant a-t-il exploité le système de trading automatisé du bot ?

Sur plusieurs semaines, l’attaquant a déployé 66 contrats de jetons contrefaits associés à des pools de liquidité factices qui imitaient des transactions rentables. Le système d’exécution automatisée du bot a accordé des autorisations de jetons à des contrats « helper », créant ainsi des vulnérabilités persistantes que l’attaquant a ensuite exploitées lors d’une transaction de balayage, sans nécessiter de clés privées volées ni de failles de protocole.

Quel rôle jaredfromsubway.eth a-t-il joué dans les attaques par sandwich sur Ethereum ?

Des recherches on-chain ont lié le bot à environ 70% des attaques par sandwich sur Ethereum entre novembre 2024 et octobre 2025. Les attaques par sandwich seraient responsables d’un coût d’environ 60 millions de dollars par an pour les traders d’Ethereum, et le bot s’est classé parmi les plus gros consommateurs de gaz du réseau pendant des années.