O bot de sanduíches JaredFromSubway foi descarregado num esquema de “isca” de contratos falsos, com perdas de cerca de 7,5 milhões de dólares

A empresa de segurança Blockaid divulgou a 21 de junho que o bot de ataques de sandwich malicioso e notório JaredFromSubway foi alvo de uma armadilha cuidadosamente concebida com 66 contratos inteligentes de moedas falsas, implantados pelos atacantes ao longo de várias semanas. A armadilha explorou a lógica de auto-pesca do bot para induzi-lo a aprovar autorizações de gasto de tokens por parte de um contrato controlado pelos atacantes, acabando por limpar de uma vez só os ativos reais na carteira do bot.

Implantação e lógica do ataque dos 66 contratos de tokens falsos

Os preparativos do atacante duraram várias semanas: foram sendo implantados 66 contratos de tokens falsos, com um aspeto que imitava com precisão três ativos mainstream, Wrapped Ether (WETH), USD Coin (USDC) e Tether (USDT).

A lógica central de JaredFromSubway é a de varrer continuamente o mempool da Ethereum, identificar automaticamente trajetórias de arbitragem de tokens com alta liquidez e segui-las; estes contratos falsos eram, para o bot, indistinguíveis das rotas reais. Tal como habitual, ele “farejava” a oportunidade e, de imediato, aprovava o gasto de tokens por um contrato auxiliar controlado pelo atacante.

A Blockaid assinalou: «O contrato controlado pelo atacante induziu o sistema automático de execução de MEV a conceder autorizações de tokens; essas autorizações foram depois utilizadas para levantar os fundos.» Apenas com uma única autorização, foram entregues mais de 92 WETH. Por fim, o último contrato usou essas autorizações já abertas para limpar de uma só vez os ativos reais na carteira do bot; as transações on-chain podem ser consultadas no Etherscan.

Histórico de JaredFromSubway: receitas brutas no auge de mais de 34 milhões de dólares

JaredFromSubway está ativo desde o início de 2023 e já executou centenas de milhares de ataques de sandwich, com um pico de receitas brutas estimadas entre 34 e 40 milhões de dólares. No período em que o MEV estava mais desenfreado, cerca de 70% dos ataques de sandwich na rede Ethereum mensalmente vinham deste bot.

Em maio de 2026, JaredFromSubway executou um ataque de sandwich contra a conversão de tokens de Vitalik Buterin, utilizando mais de 1,14 milhões de dólares em WETH para fazer uma investida coordenada; o caso gerou ampla atenção. Incidentes semelhantes de “caça a bots de MEV” não eram a primeira vez — em 2023, um verificador malicioso usou uma lógica semelhante para retirar cerca de 25 milhões de dólares de vários bots de sandwich; desta vez, o método foi mais sofisticado, substituindo uma única abordagem por 66 contratos falsos.

Duas versões dos números das perdas: 7,5 milhões na cadeia vs 15 milhões de dólares alegados pelos autores do projeto

As análises on-chain da Blockaid e da PeckShield colocam as perdas em cerca de 7,5 milhões de dólares. Os autores de JaredFromSubway alegaram posteriormente que, ao incluir partes não diretamente visíveis na cadeia, a perda total se aproxima de 15 milhões de dólares, e que já foi aberto um prémio de 1 milhão de dólares, com a condição de que os atacantes devolvam os fundos.

Perguntas frequentes

Como é que o atacante fez com que JaredFromSubway concedesse autorizações de tokens sem saber?

De acordo com a análise da Blockaid, os 66 contratos falsos implantados pelo atacante imitavam na perfeição ativos reais e de alta liquidez (WETH, USDC, USDT), para a lógica de varrimento automático do bot, não havia qualquer diferença em relação às rotas reais. Depois de o bot identificar automaticamente “oportunidades de arbitragem” e aprovar o gasto de tokens, o último contrato do atacante usou essas autorizações já concedidas para limpar de uma vez só os ativos reais. A origem da vulnerabilidade não está num defeito de código, mas sim na própria lógica gananciosa do bot.

O prémio de 1 milhão de dólares de JaredFromSubway consegue recuperar os fundos?

Segundo a reportagem, embora os autores de JaredFromSubway tenham oferecido um prémio de 1 milhão de dólares, à luz de casos anteriores, a taxa de devolução de fundos em eventos deste tipo é extremamente baixa. O artigo menciona que «a probabilidade de recuperar este dinheiro, neste momento, não é elevada».

Porque é que a estimativa de perdas da empresa de segurança Blockaid e dos autores difere tanto (7,5 milhões vs 15 milhões)?

De acordo com a reportagem, as análises on-chain da Blockaid e da PeckShield só conseguem rastrear perdas de ativos on-chain diretamente visíveis (cerca de 7,5 milhões de dólares); os autores de JaredFromSubway afirmam que os 15 milhões de dólares incluem partes não diretamente visíveis na cadeia, mas a composição exata ainda não foi divulgada.