Actualités

JaredFromSubway MEV Bot Drained dans un Piège d’Approvals à 7,5 Millions

De Aucun commentaire9 Mins de Lecture

Imaginez un bot ultra-performant conçu pour capturer les opportunités les plus fugaces sur Ethereum, soudainement vidé de plusieurs millions de dollars par un adversaire qui n’a même pas eu besoin de pirater son code directement. C’est exactement ce qui est arrivé à JaredFromSubway, l’un des sandwich bots les plus connus de l’écosystème. Cette affaire révèle une nouvelle dimension des risques dans le monde des opérations automatisées sur blockchain.

Quand un bot MEV devient la proie

Le 20 juin 2026, la communauté crypto a été secouée par l’annonce d’un drain massif touchant JaredFromSubway.eth. Ce bot, célèbre pour ses stratégies de sandwich attacks, a perdu une somme estimée entre 7,5 et 15 millions de dollars selon les sources. L’attaque n’était pas un simple hack classique mais une manipulation ingénieuse des mécanismes d’approvals token.

Blockaid, une firme de sécurité blockchain renommée, a rapidement publié un thread détaillant le fonctionnement de cette exploitation. L’attaquant a réussi à tromper le système automatisé du bot en lui faisant accorder des permissions sur des contrats contrôlés, permissions qui ont ensuite servi à vider les fonds.

Points clés de l’incident

  • Approvals accordés sur des contrats attaquants lors de routes MEV simulées
  • Utilisation de 66 faux contrats token imitant WETH, USDC et USDT
  • Drains finaux portant sur WETH, USDC et USDT via transferFrom
  • Estimation Blockaid : environ 7,5 millions de dollars
  • Revendication du propriétaire : jusqu’à 15 millions de dollars perdus

Cette histoire n’est pas seulement celle d’une perte financière. Elle met en lumière les vulnérabilités inhérentes aux bots qui opèrent à une vitesse fulgurante sur des marchés décentralisés où la confiance est codée dans des smart contracts.

Qui est JaredFromSubway ?

JaredFromSubway n’est pas un nouveau venu dans l’univers Ethereum. Ce bot MEV est connu depuis plusieurs années pour ses activités de sandwiching : il place des transactions avant et après celles des utilisateurs pour capturer la différence de prix. En 2023, il avait déjà fait parler de lui en consommant une part significative des frais de gaz sur le réseau, atteignant parfois 7 % de l’utilisation totale en une journée.

Le bot avait même été lié à une transaction impliquant Vitalik Buterin lui-même, où il avait sandwiché un petit swap du cofondateur d’Ethereum. Ces opérations, bien que controversées, font partie du paysage MEV où la compétition est féroce pour extraire de la valeur des transactions en attente.

Cette attaque n’est ni un phishing classique ni une vulnérabilité traditionnelle dans le contrat de la victime.

Blockaid

Le propriétaire du bot a rapidement réagi sur les réseaux sociaux en offrant une bounty d’un million de dollars pour le retour complet des fonds, sans questions. Cette réponse montre l’urgence de la situation et la volonté de récupérer au moins une partie des actifs.

Comment l’attaque s’est déroulée en détail

L’attaquant a commencé par tester des routes où les approvals étaient consommés immédiatement. Cette phase de reconnaissance a permis de valider que le bot réagissait bien aux opportunités présentées. Ensuite, la stratégie a évolué : création de routes qui incitaient le bot à accorder des approvals sans les utiliser tout de suite.

Parmi les exemples cités, une approval de 92,16 WETH à un contrat helper contrôlé par l’attaquant. Les transactions visibles sur Etherscan montrent les interactions entre le contrat MEV Bot 2 de JaredFromSubway et ces adresses malveillantes. Le sweep final a utilisé ces permissions ouvertes pour transférer WETH, USDC et USDT.

Les faux contrats token créés par l’attaquant copiaient parfaitement l’apparence et les fonctions des stablecoins et wrapped ETH majeurs. Associés à des pools de liquidité fictifs, ils ont rendu les routes suffisamment attractives pour que le bot automatisé morde à l’hameçon.

Les leçons de sécurité pour les opérateurs de bots

Cet incident souligne un risque souvent sous-estimé : les approvals persistants dans des environnements automatisés. Contrairement aux wallets personnels où les utilisateurs peuvent révoquer manuellement les permissions, les bots opèrent sans intervention humaine et doivent gérer eux-mêmes leur surface d’attaque.

Les développeurs de systèmes MEV doivent désormais considérer non seulement la robustesse de leur code mais aussi la façon dont leur logique décisionnelle peut être manipulée par des acteurs malveillants créant des environnements artificiellement profitables.

Recommandations immédiates pour les utilisateurs et développeurs

  • Implémenter des limites strictes sur les approvals accordés
  • Automatiser la révocation des permissions après utilisation
  • Utiliser des contrats avec des mécanismes de time-lock sur les approvals
  • Effectuer des simulations approfondies contre des scénarios adversariaux
  • Surveiller en temps réel les approvals actifs du bot

Dans le monde des MEV, où les millisecondes comptent, trouver le bon équilibre entre réactivité et sécurité représente un défi majeur. JaredFromSubway n’est probablement pas le dernier bot à tomber dans ce type de piège sophistiqué.

Le contexte plus large du MEV sur Ethereum

Le Maximum Extractable Value, ou MEV, est devenu un écosystème à part entière. Les bots rivalisent pour réorganiser les transactions dans les blocs, capturant de la valeur qui autrement irait aux validateurs ou aux utilisateurs ordinaires. Les sandwich attacks, bien que critiquées pour leur impact sur l’expérience utilisateur, font partie des stratégies les plus courantes.

Cette affaire arrive à un moment où Ethereum continue d’évoluer avec des mises à jour visant à atténuer certains effets du MEV, comme l’arrivée progressive du Proposer-Builder Separation. Pourtant, les acteurs individuels innovent plus vite que les changements protocolaires.

Les discussions autour de la protection des utilisateurs contre les sandwich bots ont repris de plus belle. Certains proposent des solutions au niveau des interfaces comme des protections intégrées dans les wallets ou les DEX, tandis que d’autres appellent à une régulation plus stricte des activités MEV.

Analyse technique de l’exploit

Du point de vue technique, l’attaque exploite la confiance implicite que les bots accordent aux routes calculées. En présentant des opportunités qui semblent légitimes, l’attaquant a contourné les vérifications habituelles. Les contrats malveillants n’avaient pas besoin de vulnérabilités dans le code du bot lui-même.

C’est ce qui rend cet incident particulièrement inquiétant : il s’agit d’une attaque contre la logique économique plutôt que contre le code. Le bot a fait exactement ce pour quoi il avait été programmé, mais dans un environnement contrôlé par l’ennemi.

Le bot approuvait des contrats attaquants pendant des routes qui semblaient être des trades MEV profitables.

Blockaid

Cette approche rappelle d’autres exploits où la surface d’attaque réside dans les interactions entre contrats plutôt que dans une faille unique. Les développeurs doivent maintenant penser en termes de “threat modeling” avancé pour les agents autonomes sur chaîne.

Réactions de la communauté et perspectives

La communauté Ethereum a réagi avec un mélange de schadenfreude et d’inquiétude. Beaucoup voient dans cette perte une forme de justice poétique pour un bot connu pour prélever des frais sur les transactions des utilisateurs lambda. D’autres s’inquiètent des implications plus larges pour la sécurité des smart contracts autonomes.

Les chasseurs de bounties et les white hats scrutent probablement déjà les on-chain data pour tenter de retracer les fonds. L’offre de récompense d’un million de dollars pourrait motiver des révélations ou même une restitution partielle, bien que les précédents dans ce domaine restent mitigés.

À plus long terme, cet événement pourrait accélérer l’adoption de meilleures pratiques en matière de gestion des approvals pour les protocoles DeFi et les outils automatisés. Les outils comme Blockaid gagnent en visibilité et pourraient voir leur rôle grandir dans la détection proactive des menaces.

Comparaison avec d’autres exploits récents

Cet incident s’inscrit dans une série d’attaques sophistiquées sur l’écosystème Ethereum. Contrairement aux rugs pulls classiques ou aux exploits de flash loans purs, ici c’est l’automatisation elle-même qui a été retournée contre son opérateur.

Les ponts cross-chain, les vaults DeFi et maintenant les bots MEV montrent que chaque nouvelle couche d’abstraction introduit de nouveaux vecteurs d’attaque. La complexité croissante rend la vérification formelle plus difficile et ouvre la porte à des manipulations créatives.

Les développeurs de JaredFromSubway devront sans doute auditer en profondeur leur système de décision et implémenter des safeguards supplémentaires avant de remettre le bot en ligne, si cela arrive un jour.

Impact sur le marché et le sentiment crypto

Bien que la perte soit significative pour un opérateur individuel, elle reste relativement modeste à l’échelle du marché Ethereum total. Cependant, elle contribue à l’érosion de confiance dans les outils automatisés et les stratégies MEV.

Les traders retail pourraient y voir une confirmation que le jeu est truqué, tandis que les institutionnels pourraient renforcer leurs exigences de sécurité pour tout déploiement de capital dans des stratégies automatisées.

Sur le plan technique, cet événement rappelle l’importance cruciale de la minimisation des permissions et de la vérification des contrats avec lesquels on interagit, même indirectement via des automates.

Vers une meilleure sécurité des agents autonomes

L’avenir des bots MEV et des agents IA sur blockchain passe probablement par des architectures plus résilientes. Des approches comme les multi-signatures pour les actions critiques, les simulations en sandbox avant exécution, ou même l’intégration de oracles de réputation pour les contrats pourraient devenir standards.

Les frameworks de développement pour agents autonomes devront intégrer nativement des considérations de sécurité adversariale, anticipant que tout input provenant de la chaîne publique peut être manipulé.

Cette attaque marque peut-être le début d’une nouvelle ère où la sécurité des bots devient aussi critique que celle des smart contracts eux-mêmes. Les opérateurs qui sauront s’adapter survivront, les autres risquent de disparaître.

En attendant, la communauté suit avec attention les mouvements on-chain liés à l’attaquant et aux fonds drainés. L’histoire de JaredFromSubway sert d’avertissement puissant : dans le monde impitoyable des MEV, même les prédateurs peuvent devenir des proies.

Les mois à venir nous diront si cette affaire restera un incident isolé ou le signe avant-coureur d’une vague d’attaques similaires ciblant l’écosystème des bots automatisés. Une chose est certaine : la vigilance n’a jamais été aussi nécessaire dans l’espace crypto.

Pour tous ceux qui opèrent des stratégies automatisées, le message est clair : révisez vos mécanismes d’approvals, testez contre des adversaires créatifs, et n’oubliez jamais que la chaîne publique est un environnement hostile où chaque interaction peut être une potentielle embuscade.

Cet événement renforce également l’importance des outils de monitoring et d’alerte en temps réel comme ceux proposés par Blockaid. La détection précoce reste l’une des meilleures défenses dans un univers où les attaques évoluent aussi vite que les défenses.

Finalement, l’affaire JaredFromSubway illustre parfaitement les paradoxes de la finance décentralisée : un espace où l’innovation rapide crée à la fois des opportunités extraordinaires et des risques tout aussi impressionnants. La maturité de l’écosystème passera par une meilleure compréhension et mitigation de ces risques systémiques.

Partager

Passionné et dévoué, je navigue sans relâche à travers les nouvelles frontières de la blockchain et des cryptomonnaies. Pour explorer les opportunités de partenariat, contactez-nous.

D'autres Articles

Laisser une réponse

Exit mobile version