La société de sécurité Blockaid a divulgué le 21 juin que le bot de sandwich malveillant JaredFromSubway, ciblé par des attaquants, avait été piégé par 66 contrats de jetons contrefaits soigneusement conçus, déployés sur plusieurs semaines par les assaillants. Ces leurres, exploitaient la logique automatique de recherche du profit du bot pour leurrer ce dernier en lui faisant approuver des autorisations de dépense de jetons, avant de vider finalement, en une seule fois, les véritables actifs présents dans le portefeuille du bot.
Déploiement et logique d'attaque des 66 contrats de jetons contrefaits
La préparation des attaquants a duré plusieurs semaines : ils ont déployé progressivement 66 contrats de jetons contrefaits, dont l'apparence imitait avec précision trois actifs majeurs, Wrapped Ether (WETH), USD Coin (USDC) et Tether (USDT).
La logique centrale de JaredFromSubway consiste à balayer en continu le mempool d'Ethereum, à identifier et à suivre des itinéraires d'arbitrage pour des jetons à forte liquidité ; pour le bot, ces faux contrats sont indiscernables des véritables routes. Comme à l'accoutumée, il « renifle » une opportunité, puis approuve des dépenses de jetons vers un contrat auxiliaire contrôlé par l'attaquant.
Blockaid précise : « Les contrats contrôlés par l'attaquant ont trompé le système d'exécution automatique MEV, en lui faisant accorder des autorisations de jetons, lesquelles ont ensuite été utilisées pour retirer les fonds. » Rien qu'une autorisation ponctuelle a permis de soutirer plus de 92 WETH. Le dernier contrat utilise ensuite ces autorisations déjà débloquées pour balayer en une seule fois les actifs réels du portefeuille du bot ; les transactions en chaîne peuvent être consultées sur Etherscan.
Dossier historique de JaredFromSubway : un revenu brut au sommet de plus de 34 millions de dollars
Actif depuis le début de 2023, JaredFromSubway a mené des centaines de milliers d'attaques de sandwich, avec un pic de revenus bruts estimé entre 34 et 40 millions de dollars. Pendant la période où les MEV étaient les plus agressifs, environ 70 % des attaques de sandwich du réseau Ethereum chaque mois provenaient de ce bot.
En mai 2026, JaredFromSubway a mené une attaque de sandwich lors d'un échange de jetons visant Vitalik Buterin, en utilisant plus de 1,14 million de dollars en WETH pour exécuter l'opération ; l'affaire a suscité un large intérêt. Des événements similaires de « chasse aux MEV bots » n'étaient pas une première — en 2023, un validateur malveillant avait déjà utilisé une logique comparable pour extraire environ 25 millions de dollars à partir de plusieurs bots de sandwich ; cette fois, la méthode est encore plus sophistiquée, en remplaçant une percée sur un seul point par 66 contrats contrefaits.
Deux versions du chiffre des pertes : 7,5 millions en chaîne vs 15 millions de dollars revendiqués par le concepteur
Les analyses on-chain de Blockaid et de PeckShield fixent les pertes à environ 7,5 millions de dollars. Le concepteur de JaredFromSubway, dans la foulée, affirme que si l'on inclut des éléments non directement visibles sur la chaîne, la perte totale se rapproche de 15 millions de dollars, et a déjà annoncé un bounty de 1 million de dollars, à condition que l'attaquant rende les fonds.
FAQ
Comment les attaquants ont-ils fait pour que JaredFromSubway accorde des autorisations de jetons sans le savoir ?
D'après l'analyse de Blockaid, les 66 contrats contrefaits déployés par l'attaquant imitent à la perfection l'apparence d'actifs réels à forte liquidité (WETH, USDC, USDT) ; pour la logique de balayage automatique du bot, ils ne font aucune différence avec les vraies routes. Une fois que le bot a identifié automatiquement une « opportunité d'arbitrage » et approuvé des dépenses de jetons, le dernier contrat de l'attaquant utilise ces autorisations déjà accordées pour balayer en une fois les actifs réels. La source du problème ne vient pas d'un défaut de code, mais de la propre logique de recherche du profit du bot.
Le bounty de 1 million de dollars de JaredFromSubway peut-il permettre de récupérer les fonds ?
Selon des informations relayées, bien que le concepteur de JaredFromSubway ait offert un bounty de 1 million de dollars, au vu des précédents, le taux de restitution des fonds dans ce type d'incident reste extrêmement faible. L'article indique que « la probabilité de récupérer cet argent n'est pas élevée à l'heure actuelle ».
Pourquoi l'estimation des pertes par Blockaid et par le concepteur diffère autant (7,5 millions vs 15 millions) ?
D'après l'article, les analyses on-chain de Blockaid et de PeckShield ne peuvent suivre que les pertes d'actifs on-chain directement visibles (environ 7,5 millions de dollars) ; les 15 millions de dollars revendiqués par le concepteur de JaredFromSubway incluent des parties non directement visibles on-chain, mais la composition exacte n'a pas encore été divulguée.
