Se connecter S'inscrire
Newsletter

Jaredfromsubway.eth : le célèbre bot MEV vidé de 7,5 millions de dollars

Le célèbre bot MEV Jaredfromsubway.eth a été vidé de plus de 7,5 millions de dollars via un piège qui a retourné sa propre logique automatisée contre lui.
parAlex LeRoux
3 minutes de lecture
Mev hack jaredfromsubway eth sandwich

Ce qu’il faut retenir :

  • Le bot MEV Jaredfromsubway.eth a été vidé de plus de 7,5 millions de dollars samedi.
  • L’attaquant a piégé la logique automatisée du bot avec 66 faux contrats imitant WETH, USDC et USDT.
  • Le bot était responsable d’environ 70 % des attaques sandwich sur Ethereum entre fin 2024 et fin 2025.

Le chasseur est devenu la proie. Jaredfromsubway.eth, l’un des bots MEV les plus rentables de la crypto, a été vidé de plus de 7,5 millions de dollars samedi. L’attaquant a retourné contre lui ses propres systèmes automatisés, ceux-là mêmes qui lui ont rapporté des centaines de millions de dollars au fil des ans.

Qu’est-ce que Jaredfromsubway.eth ?

Jaredfromsubway.eth est un bot MEV (maximal extractable value), c’est-à-dire un programme automatisé qui surveille les transactions en attente de validation sur la blockchain et en réordonne l’exécution pour capter un profit. Cette pratique fonctionne comme une « taxe invisible » prélevée sur les utilisateurs de la finance décentralisée (DeFi).

Sa spécialité : l’attaque sandwich, qui consiste à encadrer la transaction d’un utilisateur par deux ordres du bot pour grappiller l’écart de prix. Le procédé est massif. D’après Cointelegraph Research, ces attaques coûtent environ 60 millions de dollars par an aux traders sur Ethereum, avec 60 000 à 90 000 offensives par mois entre novembre 2024 et octobre 2025. Près de 70 % d’entre elles étaient l’œuvre de Jaredfromsubway.eth. Même Vitalik Buterin, cofondateur d’Ethereum, en a fait les frais en mai, lors d’un échange de 26 544 DigitalBits d’une valeur de 2,11 dollars. La perte fut dérisoire, mais l’épisode rappelle que même les transactions minuscules peuvent être visées.

Comment Jaredfromsubway.eth a-t-il été piraté ?

L’attaque relève d’un genre rare. Blockaid, la société de sécurité on-chain qui a documenté l’incident, parle d’un « honeypot anti-MEV » : un piège conçu pour exploiter la logique de décision automatisée et sans confiance sur laquelle reposent ces bots. Il ne s’agit ni d’un hameçonnage classique ni d’une faille de contrat habituelle.

Pendant plusieurs semaines, l’attaquant a déployé 66 faux contrats de tokens imitant les noms et les interfaces de Wrapped ETH (WETH), de l’USDC et de l’USDt (USDT), puis les a associés à de faux pools de liquidité, détaille Raz Niv, directeur technique de Blockaid. Ces leurres ressemblaient à des transactions profitables, exactement le type d’opportunités que les bots MEV sont programmés pour saisir. Le bot a donc fait ce pour quoi il est conçu : approuver des contrats d’aide contrôlés par l’attaquant, en les autorisant à dépenser de l’argent réel en son nom.

« Ironiquement, le bot a remis à l’attaquant les clés de millions de dollars de sa trésorerie », résume Niv. En une seule transaction, le pirate a ensuite activé les 66 portes dérobées et raflé l’ensemble des ETH, USDC et USDT stockés à ces adresses. Une partie du butin a déjà transité par le service de mixage Tornado Cash, selon les données on-chain.

Une déconfiture qui ne fera pas pleurer la DeFi

Dans un secteur régulièrement victime de ces bots, la nouvelle a provoqué une forme de satisfaction. L’investisseur et commentateur David Gokhshtein concède que « personne ne devrait s’en réjouir », avant de reconnaître que les nombreuses victimes passées de Jaredfromsubway.eth ne verseront sans doute pas beaucoup de larmes.

De son coté, Jared a proposé une offre ‘white hat bounty’ de 50% de la somme totale en cas de retour de la moitié des fonds. Le célèbre bot MEV menace une action légale sans acceptation de l’offre, mais la situation semble complexe au vue des activités du bot.

Illustration - Jaredfromsubway.eth : le célèbre bot MEV vidé de 7,5 millions de dollars

Et maintenant ?

Le sort des fonds dépend désormais de leur passage par Tornado Cash, qui complique tout traçage. Au-delà du cas Jaredfromsubway.eth, l’attaque envoie un signal aux opérateurs de bots MEV : leur logique automatisée, vantée comme leur force, peut se retourner en faille. Reste à voir si le bot reprendra du service et si d’autres « honeypots » du même genre viseront ses concurrents.

0
0
0
Share 0
Tweet 0
Share 0

Cet article vous a plu ? Recevez les prochains par email

Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.

En savoir plus sur notre newsletter crypto →
Retrouvez toute l'actualité dans notre rubrique Actualités DeFi sur Coin Academy.

Pour aller plus loin

  1. ETH : Vitalik Buterin s’exprime sur l’évolution d’Ethereum, abordant le MEV et le staking
  2. Le DOJ inculpe deux frères liés à une attaque de $25 millions contre des bots MEV sur Ethereum
  3. Vitalik Buterin sonne l’alarme à l’ETH CC : “Ethereum risque de devenir une coquille vide”
Share
Tweet
Share
Share
Share
Share
Alex
Auteur
Alex LeRoux
Chief Content Officer CoinAcademy. Tech, finances, crypto, IA. Alex@coinacademy.fr
Articles qui pourraient vous intéresser
Logo CoinAcademy
Propulsé par  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.