L’arroseur arrosé. Ce week-end il y a pas eu que la France qui a eu chaud. En effet, l’un des bots les plus connus et les plus actifs sur Ethereum a complètement vidé jaredfromsubway.eth, un autre bot, lui faisant perdre 7,5 millions de dollars en wETH, USDC, USDT.
Ce qui rend cet incident remarquable, ce n’est pas seulement le montant. C’est la méthode employée : une attaque construite sur plusieurs semaines, sans piratage de clé privée ni faille dans un protocole connu. L’attaquant a simplement retourné la logique du bot contre lui.
- Un bot Ethereum a été manipulé et vidé de 7,5 millions de dollars sans piratage direct.
- L’attaque a utilisé des contrats de tokens factices et a exploité la prévisibilité du bot.
Comment fonctionnent ces bots automatisés ?
Sur Ethereum, lorsqu’un utilisateur effectue un échange sur une plateforme décentralisée (comme Uniswap, SushiSwap ou Curve), sa transaction n’est pas immédiatement validée. Elle reste d’abord visible pendant quelques secondes dans le mempool, la file d’attente des transactions en attente de confirmation.
Pendant ce laps de temps très court, des robots automatisés analysent en continu l’ensemble des transactions présentes dans le mempool. Ces bots cherchent à identifier des opportunités de profit en exploitant la transaction de l’utilisateur. Ils peuvent par exemple placer leurs propres transactions juste avant et juste après celle de l’utilisateur pour en tirer un avantage (c’est le principe des attaques sandwich dont jaredfromsubway.eth en est normalement la légende ), ou profiter d’un déséquilibre de prix entre plusieurs plateformes.
C’est précisément pour cette raison que ces robots sont appelés des bots MEV, pour Maximal Extractable Value (Valeur Extractible Maximale). Le terme désigne la valeur supplémentaire qu’un validateur ou un searcher peut extraire d’un bloc en réorganisant, en ajoutant ou en supprimant des transactions, au-delà des simples frais de gas.
Un bot créateur de fausses cryptomonnaies
Revenons en à notre bataille de robot. Comment un bot aussi célèbre que jaredfromsubway.eth a t-il pu perdre plus de 7 millions de dollars ? L’attaquant l’a dupé.
Pendant plusieurs semaines, il a déployé 66 contrats de tokens factices imitant des stablecoins et de l’ether. Il a ensuite créé de fausses liquidités autour de ces tokens. Le bot, programmé pour détecter les opportunités rentables, a commencé à interagir avec ces contrats.
Au début, l’attaquant a effectué de petits tests. Le bot gagnait de l’argent et tout semblait normal. Progressivement, l’attaquant a modifié le comportement des contrats. Le bot jaredfromsubway.eth a alors accordé des autorisations de dépense sur ses propres fonds. Ces autorisations sont restées actives.
Une fois les autorisations obtenues, l’attaquant a pu vider les fonds en une seule transaction.
7,5 millions de dollars sortis en une seule transaction
Selon les analyses de Blockaid et du chercheur banteg, l’attaquant a utilisé un mécanisme appelé « interrupteur armé par bloc ». Les contrats se comportaient normalement sur de petites sommes, mais devenaient piégeux dès que le bot engageait des montants plus importants.
Le bot n’a pas été piraté. Il a simplement été manipulé par sa propre logique.
L’attaquant a ensuite converti les fonds volés en environ 4 427 ETH. Il en a ensuite envoyé 1 000 ETH vers Tornado Cash, un service de mélange de fonds.
Un compte X se faisant passer pour le bot a publié un message évoquant une perte de 15 millions de dollars et proposant une récompense d’un million. La plupart des observateurs considèrent qu’il s’agit d’un faux compte, car les données on-chain ne confirment pas un vol de cette ampleur.
Bot, MEV, attaque sandwich : que faut il comprendre ?
Cette attaque met en lumière plusieurs réalités importantes :
- Les bots automatisés, même les plus performants, sont devenus des cibles. Parce qu’ils gèrent de grosses sommes et qu’ils réagissent de façon prévisible, ils peuvent être piégés sans qu’il soit nécessaire de les pirater directement.
- Les attaques gagnent en sophistication. Il ne s’agit plus seulement d’exploiter des failles techniques, mais de tromper les comportements programmés sur plusieurs semaines.
- Même les acteurs les plus visibles et les plus actifs ne sont pas à l’abri.
jaredfromsubway.ethétait l’un des bots les plus connus du réseau depuis plus de trois ans.
Cette affaire illustre parfaitement l’évolution des attaques sur Ethereum. On ne se contente plus d’exploiter des failles techniques : on piège les comportements des systèmes automatisés eux-mêmes.
Le bot jaredfromsubway.eth, connu pour avoir réalisé des milliers d’attaques sandwich contre des utilisateurs, s’est finalement fait avoir par sa propre logique. L’attaquant n’a pas eu besoin de le pirater. Il a simplement compris comment il fonctionnait et lui a tendu un piège sur plusieurs semaines.
En résumé : sur Ethereum, même les chasseurs peuvent finir par se faire chasser.
L’article Ethereum : Ce légendaire bot se fait piéger et perd 7,5 millions de dollars est apparu en premier sur Journal du Coin.
