Blockaid cho biết kẻ tấn công đã lừa jaredfromsubway.eth phê duyệt các lộ trình giao dịch giả mạo, sau đó sử dụng các quyền phê duyệt đó để rút sạch WETH, USDC và USDT.
Tóm tắt chính
- Một kẻ tấn công đã rút hơn 7,5 triệu USD từ jaredfromsubway.eth — bot MEV khét tiếng trên Ethereum — bằng cách lợi dụng chính logic giao dịch tự động của bot này, chứ không phải thông qua một lỗi hợp đồng truyền thống hay lừa đảo phúng dụ (phishing scam).
Jaredfromsubway.eth, một trong những bot MEV tai tiếng nhất của Ethereum, đã bị rút mất hơn 7,5 triệu USD sau khi một kẻ tấn công quay ngược chính logic giao dịch tự động của bot để chống lại nó.
Bot này vốn nổi tiếng với các cuộc tấn công kẹp thịt (sandwich attacks) — một hình thức khai thác giá trị tối đa có thể rút (MEV – maximal extractable value). Trong đó, một nhà giao dịch tự động phát hiện một giao dịch đang chờ xử lý, tiến hành mua trước (frontrun) nó, để nạn nhân phải giao dịch ở mức giá tồi hơn, rồi lập tức bán ra ngay sau đó.
Kết quả của hành động này là một khoản thuế ẩn nhỏ đánh lên người dùng, tích tiểu thành đại qua hàng ngàn giao dịch. Các cuộc tấn công kẹp thịt thường không được coi là một dạng lỗi khai thác mà bị cộng đồng crypto xem là một loại hành vi trục lợi, hớt váng giá trị từ người dùng, làm tăng vọt phí gas và không mang lại bất kỳ lợi ích nào cho cả mạng lưới lẫn người dùng.
Công ty bảo mật Blockaid cho biết sự cố hôm thứ Bảy không phải là một vụ tấn công lừa đảo thông thường và cũng không phải là một lỗi đơn giản trong hợp đồng của nạn nhân. Thay vào đó, kẻ tấn công đã nhắm mục tiêu vào hệ thống ra quyết định của bot.
Quá trình dàn xếp được xây dựng trong vài tuần, nơi kẻ tấn công triển khai hàng chục hợp đồng token giả và các bể thanh khoản (liquidity pools) giả — thuật ngữ chỉ một lượng token được khóa trên một sàn giao dịch phi tập trung — trông có vẻ giống như các cơ hội giao dịch sinh lời. Một số token giả mạo các tài sản quen thuộc như wrapped ether (WETH), cùng các đồng stablecoin neo giá USD là USDC và USDT.
Mồi nhử đó đã phát huy đúng tác dụng. Bot của jaredfromsubway.eth nhìn thấy những thứ trông giống như cơ hội MEV và tạo ra các lệnh phê duyệt (approvals) cho các hợp đồng trợ giúp do kẻ tấn công kiểm soát để thay mặt nó chi tiêu token. Những khoản phê duyệt này đã được sử dụng ngay lập tức như một phần của giao dịch trong các thử nghiệm trước đó, nhưng sau đó, kẻ tấn công đã tạo ra các lộ trình (routes) nơi các quyền phê duyệt vẫn được giữ ở trạng thái mở.
Điều này để lại cho kẻ tấn công quyền hạn vĩnh viễn để rút tiền. Và họ đã sử dụng chính các lệnh phê duyệt mở này để chuyển WETH, USDC và USDT ra khỏi các hợp đồng của jaredfromsubway.eth, rút sạch hơn 7,5 triệu USD.
Dữ liệu trên chuỗi khối (on-chain) do CoinDesk rà soát cho thấy một phần số tiền bị đánh cắp sau đó đã được gửi đến Tornado Cash.
Sự trớ trêu của vụ việc này là điều ai cũng có thể nhận ra.
Jaredfromsubway.eth từ lâu đã là một trong những biểu tượng rõ ràng nhất của hoạt động MEV độc hại trên Ethereum. Các cuộc tấn công kẹp thịt khiến các nhà giao dịch Ethereum tổn thất khoảng 60 triệu USD mỗi năm, với 60.000 đến 90,000 vụ tấn công mỗi tháng trong khoảng thời gian từ tháng 11 năm 2024 đến tháng 10 năm 2025.
Khoảng 70% các cuộc tấn công đó có liên quan đến jaredfromsubway.eth, thực thể đã hoạt động từ đầu năm 2023.
CoinDesk từng đưa tin vào tháng 5 rằng chính bot này thậm chí đã “kẹp thịt” một giao dịch hoán đổi nhỏ của nhà đồng sáng lập Ethereum, Vitalik Buterin. Nó đã bỏ ra 1,14 triệu USD để chạy trước giao dịch của Buterin để thu về khoản lời chỉ 4 USD (sau khi trừ phí, bot thậm chí còn lỗ vài USD trong giao dịch cụ thể đó).
Giao dịch này chỉ đáng giá vài đô la và mức tổn thất là rất nhỏ, nhưng nó cho thấy mức độ công nghiệp hóa của con bot này. Nó quét sạch mempool (hàng đợi giao dịch) để tìm kiếm gần như bất kỳ thứ gì mà nó có thể chèn mình vào giữa.
Mặc dù sự cố hôm thứ Bảy không làm các cuộc tấn công kẹp thịt trở nên bớt nguy hại hơn, nhưng nó cho thấy rủi ro của việc vận hành các hệ thống phê duyệt giao dịch ở tốc độ máy móc chỉ dựa trên nhận diện mô hình và các tín hiệu lợi nhuận.
Jaredfromsubway.eth đã dành nhiều năm để kiếm lợi từ những nhà giao dịch không hề hay biết về sự xuất hiện của nó. Nhưng vào thứ Bảy tuần này, chính con bot cũng không thể nhìn thấy trước giao dịch đang nhắm vào mình.
Theo CoinDesk
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, Tienmahoa.Net hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
