O maior bot ‘sanduíche’ do Ethereum drenou US$ 7,5 milhões em exploração irônica

A configuração foi construída ao longo de várias semanas, onde o invasor implantou dezenas de contratos de tokens falsos e pools de liquidez falsos – um termo para uma pilha de tokens bloqueados em uma bolsa descentralizada – que pareciam negociações lucrativas. Alguns imitaram ativos familiares, como o Wrapped Ether (WETH) e as stablecoins USDC e USDT atreladas ao dólar.

Essa isca fez o que deveria fazer. O bot de Jaredfromsubway.eth viu o que pareciam ser oportunidades de MEV e gerou aprovações para contratos de ajuda controlados por invasores para gastar tokens em seu nome. Essas aprovações foram usadas imediatamente como parte do comércio em testes anteriores, mas posteriormente o invasor criou rotas onde as aprovações permaneceram abertas.

Isso deixou o invasor com permissão permanente para retirar fundos. E eles usaram essas aprovações abertas para transferir WETH, USDC e USDT dos contratos de Jaredfromsubway.eth, drenando mais de US$ 7,5 milhões.

Alguns dos fundos roubados foram posteriormente enviados para o Tornado Cash, mostraram dados on-chain revisados ​​pela CoinDesk.

A ironia era difícil de ignorar, entretanto.

Jaredfromsubway.eth tem sido um dos símbolos mais visíveis do MEV tóxico no Ethereum. Os ataques sanduíche custam aos comerciantes da Ethereum cerca de US$ 60 milhões por ano, com 60.000 a 90.000 ataques por mês entre novembro de 2024 e outubro de 2025.