Jaredfromsubway.eth, un bot MEV important sur Ethereum, a perdu plus de 7,5 millions de dollars après avoir approuvé des contrats contrôlés par des attaquants qui ont permis le détournement d'autorisations. L'incident s'est produit par le biais d'une série de fausses routes commerciales mises en place sur plusieurs semaines. La société de sécurité Blockaid a identifié l'exploitation comme ciblant la logique d'approbation automatisée du bot plutôt que des clés privées ou des failles de protocole.
Le bot, actif depuis 2023 et responsable d'environ 70 pour cent des attaques « sandwich » sur Ethereum, a approuvé des transactions qui semblaient rentables. Ces approbations ont permis à l'attaquant de transférer plus tard du Wrapped Ether, de l'USDC et de l'USDT depuis des contrats associés. Les enregistrements sur la blockchain montrent des transferts d'environ 92 WETH, 143 000 dollars en USDC et 149 000 dollars en USDT vers une adresse contrôlée par l'attaquant. Certains fonds ont été acheminés via Tornado Cash. Le développeur de Yearn Finance, Banteg, a décrit l'opération comme un détournement d'autorisations exécuté via un contrat de coordination. L'attaque a exploité des permissions ERC-20 qui sont restées actives après des transactions de test initiales. Blockaid a noté que la configuration impliquait des jetons d'imitation et des pools de liquidité imitant de vrais marchés. Les attaques « sandwich » liées au bot ont imposé un coût estimé à 60 millions de dollars par an aux traders sur Ethereum. Le bot représentait 7 pour cent de l'utilisation totale du gaz sur le réseau au cours d'une période récente de 24 heures.
