Das Sicherheitsunternehmen Blockaid hat am 21. Juni offengelegt, dass der berüchtigte Sandwich-Angriffsbots JaredFromSubway im Ethereum-On-Chain-Bereich Opfer eines Angriffs wurde: Angreifer hatten über mehrere Wochen hinweg 66 speziell konstruierte Klon-Vertragskopien gefälschter Token-Contracts als perfekt getarnte Fallen ausgebracht. Dabei nutzten sie die automatisierte Profit-Such-Logik des Bots, um ihn dazu zu verleiten, Token-Ausgabe-Ausgabeerlaubnisse zu genehmigen. Am Ende wurde das echte Vermögen in der Wallet des Bots in einem einzigen Schritt vollständig abgeräumt.
66 Deployments gefälschter Token-Contracts und Angriffslogik
Die Vorbereitungen der Angreifer dauerten mehrere Wochen. Schrittweise wurden 66 Klon-Token-Verträge ausgerollt, die das Aussehen von Wrapped Ether (WETH), USD Coin (USDC) und Tether (USDT) — drei gängigen Anlagewerten — exakt nachahmten.
Der Kern der Logik von JaredFromSubway besteht darin, den Ethereum-Mempool fortlaufend zu durchsuchen und Arbitrage-Pfade mit hoher Liquidität automatisch zu erkennen und zu verfolgen. Diese Attrappen-Verträge sehen für den Bot identisch aus wie die echten Pfade. Wie üblich „wittert“ er eine Gelegenheit, genehmigt umgehend den Token-Ausgaben an einen Zusatzvertrag, der von den Angreifern kontrolliert wird.
Blockaid weist darauf hin: „Der von den Angreifern kontrollierte Vertrag gaukelte dem automatisierten MEV-Ausführungssystem vor, wodurch es Token-Authorizations erteilte. Diese Freigaben wurden anschließend zum Abheben der Gelder verwendet.“ Bereits bei einer einzigen Einzelautorisierung gab JaredFromSubway über 92 WETH aus. Der letzte Vertrag nutzte diese bereits geöffneten Freigaben, um die echten Vermögenswerte in der Wallet des Bots in einem einzigen Durchlauf vollständig zu säubern. Die On-Chain-Transaktionen sind über Etherscan einsehbar.
JaredFromSubway: Historische Erfolgsbilanz — im Peak mit einem Bruttoerlös von über 34 Millionen US-Dollar
JaredFromSubway ist seit Anfang 2023 aktiv und hat bereits zigtausend Sandwich-Angriffe durchgeführt. In der Phase mit dem höchsten Ertrag wird der Bruttoerlös auf etwa 34 bis 40 Millionen US-Dollar geschätzt. In der Zeit, in der MEV besonders aggressiv war, stammten rund 70% der Sandwich-Angriffe im gesamten Ethereum-Netzmonatlich von diesem Bot.
Im Mai 2026 führte JaredFromSubway einen Sandwich-Angriff auf den Token-Umtausch von Vitalik Buterin aus. Dafür wurden über 1,14 Millionen US-Dollar WETH eingesetzt, um einen Überfall zu fahren — das sorgte für breite Aufmerksamkeit. Ähnliche Ereignisse rund um „Jagd auf MEV-Bots“ sind nicht zum ersten Mal passiert: Bereits 2023 hatte ein böswilliger Validator mit der gleichen Logik aus mehreren Sandwich-Bots rund 25 Millionen US-Dollar abgezogen; diesmal war die Methode noch präziser, indem statt eines einzelnen Durchbruchs 66 gefälschte Verträge eingesetzt wurden.
Zwei Versionen der Verlustzahlen: 7,5 Millionen US-Dollar On-Chain vs. behauptete 15 Millionen US-Dollar durch den Designer
Die On-Chain-Analysen von Blockaid und PeckShield beziffern den Verlust auf rund 7,5 Millionen US-Dollar. Der Designer von JaredFromSubway behauptete nachträglich, dass sich der Gesamtschaden — wenn man die nicht direkt On-Chain sichtbaren Teile einbezieht — auf nahezu 15 Millionen US-Dollar beläuft. Zudem habe er eine Belohnung von 1 Million US-Dollar ausgesetzt, unter der Bedingung, dass die Angreifer das Geld zurückerstatten.
Häufige Fragen
Wie konnten die Angreifer JaredFromSubway dazu bringen, Token-Freigaben zu erteilen, ohne dass es es wusste?
Laut der Analyse von Blockaid sehen die von den Angreifern eingesetzten 66 gefälschten Verträge die echten, hochliquiden Vermögenswerte (WETH, USDC, USDT) vollständig nach. Für die automatische Scan-Logik des Bots gibt es dabei keinen Unterschied zu echten Pfaden. Nachdem der Bot automatisch „Arbitrage-Chancen“ erkennt und die Token-Ausgabe genehmigt hat, verwendet der letzte Vertrag der Angreifer diese bereits geöffneten Freigaben, um die echten Vermögenswerte einmalig abzuräumen. Die Ursache liegt nicht in einem Programmcode-Fehler, sondern in der Profit-Such-Logik des Bots selbst.
Kann die 1-Million-US-Dollar-Belohnung von JaredFromSubway die Gelder zurückholen?
Laut Berichten hat der Designer zwar eine Belohnung von 1 Million US-Dollar ausgesetzt. Doch anhand historischer Fälle ist die Rückerstattungsquote bei solchen Angriffen extrem niedrig. Der Artikel nennt: „Die Wahrscheinlichkeit, das Geld zurückzubekommen, ist derzeit eher nicht hoch.“
Warum klaffen die Verlustschätzungen zwischen dem Sicherheitsunternehmen Blockaid und dem Designer so stark auseinander (7,5 Millionen vs. 15 Millionen)?
Laut den Berichten können die On-Chain-Analysen von Blockaid und PeckShield nur direkte, sichtbar On-Chain nachverfolgbare Vermögensverluste erfassen (rund 7,5 Millionen US-Dollar). Die vom Designer von JaredFromSubway behaupteten 15 Millionen US-Dollar enthalten auch nicht direkt On-Chain sichtbare Teile, aber die genaue Zusammensetzung wurde bislang nicht offengelegt.
