Bot MEV JaredFromSubway của Ethereum mất 15 triệu USD trong vụ khai thác bẫy mật chống MEV

Bot MEV JaredFromSubway của Ethereum đã mất tới 15 triệu USD sau khi kẻ tấn công đánh lừa hệ thống giao dịch tự động của nó phê duyệt các hợp đồng giả mạo.

"Đây là một cuộc tấn công bẫy mật chống MEV nhắm vào logic ra quyết định tự động mà các bot MEV sử dụng," Raz Niv, giám đốc công nghệ của công ty bảo mật blockchain Blockaid, cho biết.

Kẻ tấn công đã triển khai 66 hợp đồng token giả mạo Wrapped ETH, USDC và USDT trong vài tuần, tạo ra các bể thanh khoản giả có vẻ sinh lời đối với hệ thống quét của bot. Một khi bot cấp phê duyệt ERC-20 cho các hợp đồng phụ trợ do kẻ tấn công kiểm soát, tác nhân đe dọa đã quét sạch ETH, USDC và USDT khỏi kho quỹ của bot trong một giao dịch duy nhất. Một phần số tiền bị đánh cắp sau đó đã được chuyển qua Tornado Cash, dữ liệu trên chuỗi cho thấy.

Vụ khai thác này cho thấy cơ sở hạ tầng MEV — các hệ thống được thiết kế để kiếm lợi từ việc sắp xếp thứ tự giao dịch — có thể trở thành bề mặt tấn công khi logic phê duyệt tự động tương tác với các hợp đồng thù địch. JaredFromSubway, được liên kết với khoảng 70% các cuộc tấn công sandwich trên Ethereum từ tháng 11/2024 đến tháng 10/2025, ban đầu đã đề nghị tiền thưởng 3 triệu USD cho số tiền bị đánh cắp, sau đó nâng lên 7,5 triệu USD cho việc trả lại 50%.

Người điều hành bot cũng đang đàm phán với một nhóm hacker mũ trắng, mặc dù chưa có thỏa thuận nào được xác nhận. Các cuộc tấn công sandwich trên Ethereum đã gây ra thiệt hại ước tính 60 triệu USD mỗi năm cho nhà giao dịch, với tổng giá trị MEV khai thác trên mạng lưới vượt quá 1,2 tỷ USD tính đến tháng 5. Sự cố này gia tăng áp lực buộc các nhà điều hành MEV phải xem xét lại cách các hệ thống tự động xử lý việc xác thực token và kiểm tra tính hợp lệ của bể thanh khoản.

Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.