Ataque a MEV-Bot JaredFromSubway resulta em roubo de US$ 15 milhões em criptomoedas
Um dos mais proeminentes MEV-bots na rede Ethereum, JaredFromSubway, foi vítima de um ataque sofisticado que resultou na perda de aproximadamente US$ 15 milhões em criptomoedas. O ataque explorou a lógica de busca de oportunidades de lucro do bot, levando ao roubo de fundos.
MundiX News·27 de junho de 2026·6 min de leitura·👁 1 views
Um dos MEV-bots mais populares na rede Ethereum, conhecido como JaredFromSubway, sofreu uma perda significativa de cerca de US$ 15 milhões em criptomoedas após um ataque direcionado à sua lógica de busca por transações lucrativas. Os atacantes criaram tokens e pools de liquidez falsos, induzindo o sistema do bot a conceder permissões para a retirada de fundos. MEV-bots (Maximal Extractable Value) são ferramentas essenciais no ecossistema de blockchains como o Ethereum, pois analisam transações ainda não confirmadas para capitalizar a ordem em que são incluídas nos blocos. JaredFromSubway se destacou por ser um dos bots mais agressivos, empregando a técnica conhecida como "sandwich attack".
Em um "sandwich attack", o bot monitora uma transação pendente de um usuário e, antecipando seu impacto no mercado, compra o ativo imediatamente antes da transação da vítima. A transação da vítima, ao ser executada, altera o preço do ativo. Em seguida, o bot vende o ativo rapidamente, lucrando com a diferença de preço. Esse método resulta em um preço menos favorável para o trader comum e gera lucro para o operador do bot. A descoberta inicial dessa exploração foi feita por especialistas da empresa Blockaid. Posteriormente, representantes do JaredFromSubway confirmaram que os atacantes desenvolveram rotas de troca fraudulentas para o bot, que se apresentavam como oportunidades de MEV altamente rentáveis. Como consequência, o JaredFromSubway analisou automaticamente essas rotas, gerou as transações necessárias e concedeu aprovações ERC-20 a contratos auxiliares dos atacantes, efetivamente autorizando-os a gerenciar uma certa quantidade de tokens em nome do contrato do bot.
De acordo com a publicação BleepingComputer, os atacantes demonstraram um planejamento meticuloso para a execução do roubo. As transações iniciais pareciam inofensivas, possivelmente servindo como testes para que os hackers pudessem analisar o comportamento do bot. Em seguida, os atacantes modificaram a rota de forma que as permissões concedidas não fossem imediatamente utilizadas nem revogadas após a conclusão de uma transação. Isso permitiu que um contrato auxiliar, controlado pelos atacantes, acumulasse gradualmente permissões válidas para a retirada de ativos. Em um determinado momento, o limite apenas para WETH atingiu 92,1614 tokens. Posteriormente, os hackers utilizaram a função transferFrom para drenar os tokens WETH, USDC e USDT do contrato JaredFromSubway, totalizando um prejuízo de aproximadamente US$ 15 milhões. Inicialmente, os representantes do JaredFromSubway ofereceram uma recompensa de US$ 3 milhões aos hackers em troca da devolução de todos os fundos roubados, prometendo não tomar nenhuma medida legal. Contudo, sem resposta dos atacantes, a recompensa foi aumentada para US$ 7,5 milhões, com um pedido para que devolvessem pelo menos metade do valor roubado, e US$ 1 milhão seria destinado à comunidade. Relatos também indicam que o JaredFromSubway está em negociações com um grupo de white hat hackers que supostamente poderiam auxiliar na recuperação dos fundos.
Este incidente destaca a complexidade e os riscos inerentes ao ecossistema de MEV. A capacidade dos atacantes de manipular as rotas de troca e explorar as permissões concedidas pelos bots demonstra a necessidade contínua de auditorias rigorosas e mecanismos de segurança robustos para proteger os ativos digitais. A engenharia social e a exploração de falhas lógicas em contratos inteligentes continuam sendo vetores de ataque proeminentes no espaço das finanças descentralizadas (DeFi). A busca por soluções para mitigar esses riscos, incluindo a colaboração com a comunidade de segurança, é fundamental para a sustentabilidade e confiança no setor.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um dos MEV-bots mais populares na rede Ethereum, conhecido como JaredFromSubway, sofreu uma perda significativa de cerca de US$ 15 milhões em criptomoedas após um ataque direcionado à sua lógica de busca por transações lucrativas. Os atacantes criaram tokens e pools de liquidez falsos, induzindo o sistema do bot a conceder permissões para a retirada de fundos. MEV-bots (Maximal Extractable Value) são ferramentas essenciais no ecossistema de blockchains como o Ethereum, pois analisam transações ainda não confirmadas para capitalizar a ordem em que são incluídas nos blocos. JaredFromSubway se destacou por ser um dos bots mais agressivos, empregando a técnica conhecida como "sandwich attack".
Em um "sandwich attack", o bot monitora uma transação pendente de um usuário e, antecipando seu impacto no mercado, compra o ativo imediatamente antes da transação da vítima. A transação da vítima, ao ser executada, altera o preço do ativo. Em seguida, o bot vende o ativo rapidamente, lucrando com a diferença de preço. Esse método resulta em um preço menos favorável para o trader comum e gera lucro para o operador do bot. A descoberta inicial dessa exploração foi feita por especialistas da empresa Blockaid. Posteriormente, representantes do JaredFromSubway confirmaram que os atacantes desenvolveram rotas de troca fraudulentas para o bot, que se apresentavam como oportunidades de MEV altamente rentáveis. Como consequência, o JaredFromSubway analisou automaticamente essas rotas, gerou as transações necessárias e concedeu aprovações ERC-20 a contratos auxiliares dos atacantes, efetivamente autorizando-os a gerenciar uma certa quantidade de tokens em nome do contrato do bot.
De acordo com a publicação BleepingComputer, os atacantes demonstraram um planejamento meticuloso para a execução do roubo. As transações iniciais pareciam inofensivas, possivelmente servindo como testes para que os hackers pudessem analisar o comportamento do bot. Em seguida, os atacantes modificaram a rota de forma que as permissões concedidas não fossem imediatamente utilizadas nem revogadas após a conclusão de uma transação. Isso permitiu que um contrato auxiliar, controlado pelos atacantes, acumulasse gradualmente permissões válidas para a retirada de ativos. Em um determinado momento, o limite apenas para WETH atingiu 92,1614 tokens. Posteriormente, os hackers utilizaram a função transferFrom para drenar os tokens WETH, USDC e USDT do contrato JaredFromSubway, totalizando um prejuízo de aproximadamente US$ 15 milhões. Inicialmente, os representantes do JaredFromSubway ofereceram uma recompensa de US$ 3 milhões aos hackers em troca da devolução de todos os fundos roubados, prometendo não tomar nenhuma medida legal. Contudo, sem resposta dos atacantes, a recompensa foi aumentada para US$ 7,5 milhões, com um pedido para que devolvessem pelo menos metade do valor roubado, e US$ 1 milhão seria destinado à comunidade. Relatos também indicam que o JaredFromSubway está em negociações com um grupo de white hat hackers que supostamente poderiam auxiliar na recuperação dos fundos.
Este incidente destaca a complexidade e os riscos inerentes ao ecossistema de MEV. A capacidade dos atacantes de manipular as rotas de troca e explorar as permissões concedidas pelos bots demonstra a necessidade contínua de auditorias rigorosas e mecanismos de segurança robustos para proteger os ativos digitais. A engenharia social e a exploração de falhas lógicas em contratos inteligentes continuam sendo vetores de ataque proeminentes no espaço das finanças descentralizadas (DeFi). A busca por soluções para mitigar esses riscos, incluindo a colaboração com a comunidade de segurança, é fundamental para a sustentabilidade e confiança no setor.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
