Bot MEV nổi tiếng trên Ethereum bị rút hơn 7,5 triệu USD sau cú lừa ngược

Cú đảo chiều bất ngờ với một bot chuyên đi trước người khác

Jaredfromsubway.eth, cái tên rất quen trong giới MEV trên Ethereum, đã bị rút hơn 7,5 triệu USD sau khi kẻ tấn công biến chính cơ chế giao dịch tự động của bot này thành điểm yếu.

Điều đáng chú ý là vụ việc không xuất phát từ lỗi hợp đồng thông minh theo kiểu thông thường, cũng không phải một chiến dịch lừa đảo qua phishing. Mục tiêu chính là hệ thống ra quyết định của bot.

Sandwich bot là gì và vì sao gây tranh cãi

Jaredfromsubway.eth nổi tiếng với chiến lược sandwich, một dạng khai thác giá trị có thể trích xuất tối đa, thường được gọi là MEV.

Cách hoạt động cơ bản như sau:

1. Bot phát hiện một giao dịch đang chờ xác nhận.
2. Nó mua trước để đẩy giá lên.
3. Nhà giao dịch ban đầu khớp lệnh ở mức giá bất lợi hơn.
4. Bot bán ra ngay sau đó để chốt lợi nhuận.

Mỗi giao dịch chỉ tạo ra một khoản thiệt hại nhỏ, nhưng khi lặp lại trên quy mô lớn, tổng số tiền mà người dùng mất đi có thể rất đáng kể.

Giới crypto thường xem kiểu hành vi này là mang tính săn giá trị hơn là một cuộc tấn công kỹ thuật, bởi nó làm tăng phí gas và không mang lại lợi ích cho người dùng hay cho mạng lưới.

Kẻ tấn công đã dựng bẫy như thế nào

Theo Blockaid, đây không phải một vụ khai thác ngẫu nhiên. Kẻ tấn công đã chuẩn bị trong nhiều tuần bằng cách triển khai hàng chục hợp đồng token giả và các pool thanh khoản giả, vốn là những cụm tài sản khóa trên sàn giao dịch phi tập trung.

Những cấu trúc này được thiết kế để trông giống cơ hội giao dịch thật. Một số còn mô phỏng các tài sản quen thuộc như wrapped ether, hay WETH, cùng các stablecoin neo theo USD là USDC và USDT.

Bẫy này đã phát huy tác dụng. Bot của Jaredfromsubway.eth nhìn thấy thứ tưởng như là cơ hội MEV và tạo ra các quyền phê duyệt cho những hợp đồng phụ trợ do kẻ tấn công kiểm soát, cho phép chúng chi tiêu token thay mặt bot.

Trong các thử nghiệm ban đầu, các quyền này được dùng ngay trong cùng một giao dịch. Nhưng về sau, kẻ tấn công đã tạo ra các luồng giao dịch khiến những quyền phê duyệt đó không bị đóng lại.

Kết quả là chúng giữ được quyền truy cập kéo dài, từ đó rút WETH, USDC và USDT ra khỏi các hợp đồng liên quan đến Jaredfromsubway.eth. Tổng số tiền bị lấy đi vượt 7,5 triệu USD.

Một phần tài sản bị chuyển qua Tornado Cash

Dữ liệu onchain được CoinDesk xem xét cho thấy một phần tài sản đánh cắp sau đó đã được chuyển sang Tornado Cash.

Diễn biến này càng làm vụ việc trở nên chua chát, bởi Jaredfromsubway.eth vốn là một trong những biểu tượng dễ nhận diện nhất của MEV độc hại trên Ethereum.

Con số cho thấy quy mô của vấn đề

Các cuộc sandwich attack được ước tính khiến nhà giao dịch trên Ethereum thiệt hại khoảng 60 triệu USD mỗi năm.

Từ tháng 11 năm 2024 đến tháng 10 năm 2025, mỗi tháng có khoảng 60.000 đến 90.000 vụ tấn công kiểu này. Khoảng 70% trong số đó được cho là liên quan đến Jaredfromsubway.eth, bot đã hoạt động từ đầu năm 2023.

CoinDesk trước đó cũng từng ghi nhận bot này sandwich một giao dịch hoán đổi rất nhỏ của Vitalik Buterin. Khi đó, bot đã đặt 1,14 triệu USD để frontrun một giao dịch chỉ trị giá 4 USD, và sau phí thì khoản lời thực tế chỉ còn vài đô la.

Dù giá trị giao dịch rất thấp, sự việc cho thấy mức độ công nghiệp hóa của bot này. Nó quét mempool gần như mọi cơ hội có thể chen vào.

Bài học từ vụ việc

Sự cố lần này không làm sandwich attack trở nên ít gây hại hơn. Nhưng nó cho thấy rủi ro của những hệ thống ra quyết định ở tốc độ máy, đặc biệt khi chúng dựa nhiều vào nhận diện mẫu và tín hiệu lợi nhuận.

Trong nhiều năm, Jaredfromsubway.eth sống nhờ việc đi trước những người không nhìn thấy nó. Lần này, chính bot lại là bên không kịp nhận ra cú giao dịch đang nhắm vào mình.