Bot MEV nổi tiếng trên Ethereum bị tấn công
Jaredfromsubway, một trong những bot MEV nổi tiếng nhất trên mạng Ethereum, được cho là đã bị tấn công, khiến hàng triệu USD tài sản bị đánh cắp.
Theo cảnh báo cộng đồng từ Blockaid, hệ thống phát hiện lỗ hổng của công ty đã ghi nhận một cuộc tấn công nhắm vào bot MEV này.
Đánh giá ban đầu cho thấy kẻ tấn công đã thao túng cơ chế thực thi MEV tự động của bot, khiến hệ thống cấp quyền cho các hợp đồng do chúng kiểm soát.
Blockaid cho biết ít nhất 7,5 triệu USD tài sản đã bị đánh cắp, trong khi một số nguồn on-chain cho rằng tổng thiệt hại có thể vượt 15 triệu USD.
Không phải phishing hay lỗi hợp đồng thông thường
Blockaid nhấn mạnh vụ việc không phải là một cuộc tấn công phishing điển hình, cũng không phải lỗ hổng smart contract truyền thống trong hợp đồng của nạn nhân.
Thay vào đó, kẻ tấn công đã lợi dụng cách bot tự động đánh giá các cơ hội MEV có vẻ sinh lời.
Chúng tạo ra các token wrapper giả và pool thanh khoản giả, sử dụng các tuyến giao dịch như fWETH, fUSDC, fUSDT kết hợp với fCAP.
Các tuyến này được thiết kế để trông giống cơ hội arbitrage hấp dẫn, khiến bot tự động tương tác.
🚨 EXPLOIT UPDATE: Ethereum’s most notorious sandwich bot, jaredfromsubway.eth, was drained of $7.5M in an on-chain "honeypot" trap this weekend.
Blockaid confirmed an attacker tricked the bot's automated systems into approving malicious contracts to steal its funds. ⚠️…
— TheNewsCrypto (@The_NewsCrypto) June 22, 2026
Bot bị lừa cấp quyền cho hợp đồng độc hại
Trong quá trình xử lý các giao dịch giả, bot đã cấp quyền chi tiêu cho các hợp đồng phụ do kẻ tấn công kiểm soát.
Ở các giao dịch thử nghiệm ban đầu, quyền được cấp lập tức bị sử dụng trong cùng tuyến giao dịch và không để lại quyền truy cập lâu dài.
Tuy nhiên, ở những lần sau, kẻ tấn công tạo ra các tuyến khiến bot phê duyệt quyền, nhưng quyền này không bị sử dụng cũng không bị thu hồi.
Điều đó cho phép kẻ tấn công tận dụng quyền đã được cấp để rút tài sản.
Vụ việc cho thấy ngay cả các bot MEV phức tạp cũng có thể trở thành mục tiêu nếu cơ chế tự động ra quyết định bị đánh lừa.
Trong bối cảnh DeFi ngày càng phụ thuộc vào bot và tự động hóa, rủi ro không chỉ nằm ở smart contract, mà còn ở cách các hệ thống tự động đánh giá “cơ hội sinh lời” trên thị trường.
