Ethereum : comment ce bot de trading légendaire a perdu 7,5M$ sans aucun hack ni vol de clé privée
Sur Ethereum, le bot MEV le plus redouté vient de perdre 7,5 millions de dollars dans un piège préparé pendant des semaines. Comment un simple honeypot anti-MEV a-t-il retourné sa propre stratégie contre lui ?
Sur le réseau Ethereum, l’un des robots de trading automatisé les plus redoutés vient de subir exactement ce qu’il inflige d’habitude aux autres. Ce week-end, le bot MEV connu sous le nom de jaredfromsubway.eth a été vidé d’environ 7,5 millions de dollars, soit plusieurs millions d’euros, en WETH, USDC et USDT. Une seule transaction a suffi pour siphonner les fonds accumulés par ce « sandwich bot » qui réorganise d’ordinaire les transactions des utilisateurs à son profit.
Ce qui rend l’affaire interressante pour tout l’écosystème, ce n’est pas seulement le montant perdu. L’attaque a été préparée sur plusieurs semaines, sans vol de clé privée ni faille identifiée dans un protocole, en retournant simplement la logique du robot contre lui. Derrière ce piège patient se cachent de faux tokens, de fausses liquidités et un mécanisme d' »interrupteur armé par bloc » spécialement conçu pour tromper le bot. De quoi attirer l’attention de tous ceux qui suivent la finance décentralisée.
Bot MEV jaredfromsubway.eth : les faits derrière les 7,5 millions perdus
Selon les analyses de la société de sécurité Blockaid et du chercheur banteg, l’attaque ne repose ni sur un hameçonnage ni sur un bug classique dans un smart contract. Le bot n’a pas été « piraté » au sens habituel du terme, aucune clé privée n’ayant été compromise. Les fonds – environ 7,5 millions de dollars en WETH, USDC et USDT – ont été retirés grâce à des autorisations de dépense laissées actives sur des contrats malveillants, que le bot avait lui-même approuvés au fil de ses opérations.
L’attaquant a déployé 66 contrats de tokens factices, imitant des stablecoins et de l’ether, et a construit autour d’eux des pools de liquidité artificiels sur Ethereum. Dans un premier temps, ces contrats se comportaient comme de simples opportunités de profit : le robot engrangeait de petits gains, ce qui l’incitait à continuer à interagir avec eux. Puis le code des contrats a basculé, via un mécanisme d' »interrupteur armé par bloc » qui ne se déclenchait que lorsque le bot engageait des montants plus importants, et les autorisations accordées ont permis de vider son portefeuille en une seule transaction.
| Élément | Valeur | Détail | Source / référence |
|---|---|---|---|
| Montant drainé | ≈ 7,5 M$ | WETH, USDC et USDT du bot | Données on-chain |
| Contrats factices | 66 tokens | Copies de stablecoins et d’ether | Analyses Blockaid et banteg |
| Durée de préparation | Plusieurs semaines | Déploiement progressif et tests à petite taille | Analyses de sécurité |
| Mécanisme clé | Approvals ERC-20 | Autorisation de dépenser les fonds du bot | Blockaid |
| Déclencheur du piège | « Interrupteur armé par bloc » | Normal sur petits montants, piégeux sur gros | Analyses Blockaid |
| Après le drain | ≈ 4 427 ETH | 1 000 ETH envoyés à Tornado Cash | Traces on-chain |
Comment l’attaque sandwich s’est retournée contre le bot sur Ethereum
Sur Ethereum, chaque transaction passe d’abord par le mempool, une file d’attente publique où les validateurs choisissent quelles opérations inclure dans les blocs. Des robots comme jaredfromsubway.eth scrutent en permanence cette file pour détecter des échanges sur Uniswap, SushiSwap ou Curve et insérer leurs propres ordres juste avant et juste après ceux des utilisateurs. Cette technique, appelée attaque sandwich dans le jargon de la MEV, applique une sorte de taxe cachée sur les traders, en achetant avant eux puis en revendant immédiatement après, transaction après transaction.
La machine ciblée ici n’était pas marginale : sur la période allant de novembre 2024 à octobre 2025, des études on-chain attribuent à jaredfromsubway.eth près de 70 % des attaques sandwich recensées sur le réseau, pour un coût cumulé estimé à une soixantaine de millions de dollars par an pour les traders, avec entre 60 000 et 90 000 opérations de ce type chaque mois. Pour Blockaid, l’épisode illustre une nouvelle catégorie de menaces, où ce sont les comportements programmés qui deviennent la cible. « L’incident survenu samedi n’était pas une attaque de phishing classique ni un simple bug dans le contrat de la victime. L’attaquant a plutôt ciblé le système de prise de décision du bot », a expliqué la société de sécurité Blockaid, citée par Coindesk. Après avoir converti le butin en environ 4 427 ETH, l’auteur du piège en a envoyé 1 000 vers le mixeur Tornado Cash, compliquant le traçage. Un compte X se faisant passer pour le bot a ensuite évoqué une perte de 15 millions de dollars et une récompense d’un million, mais les données on-chain ne confirment pas un vol d’une telle ampleur, ce qui laisse aux observateurs un mélange d’ironie et de prudence face à ce renversement de rôle sur Ethereum.
En bref
- Ce week-end sur Ethereum, le bot MEV jaredfromsubway.eth a vu quelque 7,5 millions de dollars en WETH, USDC et USDT disparaître en une transaction.
- Un honeypot anti-MEV fondé sur 66 faux tokens, de fausses liquidités et des approvals ERC-20 laissées ouvertes a permis de retourner sa propre logique de trading contre lui.
- Cet épisode interroge la sécurité des bots automatisés, la toxicité des attaques sandwich et les nouvelles stratégies défensives à envisager pour la DeFi.
