Jeden z nejznámějších automatických obchodních botů na síti Ethereum se sám stal obětí sofistikovaného útoku. Nešlo o phishing ani chybu v chytrém kontraktu, útočník zneužil samotný způsob, jakým bot vyhodnocoval obchodní příležitosti.
Bot známý pod adresou jaredfromsubway.eth, který je dlouhodobě spojován s takzvanými „sandwich útoky“, přišel o více než 7,5 milionu dolarů (přibližně 165 milionů korun). Podle bezpečnostní společnosti Blockaid útočník dokázal obrátit automatizovaný systém bota proti němu samotnému.
Jaredfromsubway.eth patří mezi nejznámější aktéry v oblasti takzvaného MEV (Maximal Extractable Value). Jeho software využíval taktiku známou jako sandwich attack. Ta funguje tak, že bot zachytí čekající transakci v síti, nakoupí příslušné aktivum ještě před ní, nechá původního uživatele obchodovat za méně výhodnou cenu a následně okamžitě prodá se ziskem.
Pro běžné uživatele to představuje skrytý náklad, který se na jednotlivých obchodech může zdát zanedbatelný, ale ve velkém měřítku znamená milionové částky.
Podle Blockaidu nešlo v tomto případě o běžný hackerský útok. Útočník několik týdnů připravoval síť falešných tokenů a falešných likviditních poolů, které měly působit jako atraktivní obchodní příležitosti. Některé z nich napodobovaly známá aktiva, například wrapped ether (WETH) nebo stablecoiny USDC a USDT.
Automatický systém bota tyto příležitosti vyhodnotil jako ziskové a začal generovat oprávnění, která umožňovala pomocným kontraktům nakládat s jeho prostředky. Zatímco při dřívějších testech byla tato oprávnění využita okamžitě a následně zanikla, později útočník vytvořil obchodní trasy, kde oprávnění zůstala aktivní.
Právě tato otevřená oprávnění následně využil k převodu prostředků z kontraktů bota. Výsledkem byla ztráta více než 7,5 milionu dolarů v tokenech WETH, USDC a USDT.
Data z blockchainu podle CoinDesku ukazují, že část odcizených prostředků byla následně odeslána do služby Tornado Cash, která umožňuje ztížit dohledání původu kryptoměnových transakcí.
Celá událost má přitom výrazný ironický rozměr. Jaredfromsubway.eth je dlouhodobě považován za symbol takzvaného toxického MEV. Odhaduje se, že sandwich útoky připravují obchodníky na Ethereu přibližně o 60 milionů dolarů ročně. Mezi listopadem 2024 a říjnem 2025 bylo zaznamenáno 60 až 90 tisíc podobných útoků měsíčně a zhruba 70 % z nich bylo spojováno právě s tímto botem.
V květnu letošního roku se navíc dostal do pozornosti médií poté, co provedl sandwich útok i na drobnou transakci spoluzakladatele Etherea Vitalika Buterina. Bot tehdy použil kapitál ve výši 1,14 milionu dolarů, aby na celé operaci vydělal pouhé čtyři dolary.
Současný incident podle expertů ukazuje rizika systémů, které schvalují transakce automaticky na základě rozpoznávání vzorů a očekávaného zisku. Přestože útok nijak nesnižuje škodlivost sandwich strategií, ukazuje, že i velmi sofistikované automatizované systémy mohou být zranitelné, pokud jejich rozhodování někdo dokáže zmanipulovat.
Jaredfromsubway.eth tak po letech vydělávání na nepozornosti ostatních obchodníků nakonec sám nedokázal rozpoznat past, kterou na něj útočník připravil.
