Perusahaan keamanan Blockaid mengungkapkan pada 21 Juni bahwa bot sandwich berpenampilan mencolok di jaringan Ethereum, JaredFromSubway, diserang oleh penyerang yang selama berminggu-minggu menyebarkan 66 kontrak token tiruan yang dirancang dengan cermat sebagai tempat penjebakan (honeypot). Penjebakan itu memanfaatkan logika pelacakan keuntungan otomatis bot untuk membujuknya menyetujui izin pengeluaran token, hingga akhirnya mengosongkan aset asli sekali simpan dari dompet bot secara menyeluruh.
Penerapan dan logika serangan 66 kontrak token tiruan
Persiapan penyerang berlangsung selama berminggu-minggu, secara bertahap menerapkan 66 kontrak token tiruan, dengan tampilan yang secara akurat meniru tiga aset arus utama: Wrapped Ether (WETH), USD Coin (USDC), dan Tether (USDT).
Logika inti JaredFromSubway adalah pemindaian terus-menerus pada mempool Ethereum, mengidentifikasi dan mengikuti jalur arbitrase untuk token berlikuiditas tinggi secara otomatis; kontrak palsu ini tidak terlihat berbeda dari jalur asli di mata bot. Seperti biasa, bot tersebut “mencium” peluang, lalu segera menyetujui pengeluaran token ke kontrak bantu yang dikendalikan penyerang.
Blockaid menyatakan: “Kontrak yang dikendalikan penyerang membujuk sistem eksekusi MEV otomatis sehingga sistem tersebut memberikan otorisasi token; otorisasi-otorisasi itu kemudian digunakan untuk menarik dana.” Hanya dari satu otorisasi transaksi, penyerang berhasil mendapatkan lebih dari 92 WETH. Pada akhirnya, kontrak terakhir memanfaatkan otorisasi yang telah dibuka itu untuk menyapu sekali jalan aset asli di dompet bot; transaksi on-chain dapat dilihat di Etherscan.
Rekam jejak JaredFromSubway: pendapatan kotor puncak lebih dari 34 juta dolar AS
JaredFromSubway aktif sejak awal 2023 dan telah menjalankan puluhan hingga ratusan ribu serangan sandwich, dengan pendapatan kotor pada masa puncak diperkirakan mencapai 34 hingga 40 juta dolar AS. Pada periode saat MEV paling liar, sekitar 70% serangan sandwich di seluruh jaringan Ethereum per bulan berasal dari bot ini.
Pada Mei 2026, JaredFromSubway menjalankan serangan sandwich terhadap pertukaran token milik Vitalik Buterin, menggunakan lebih dari 1,14 juta dolar AS WETH untuk melakukan pengepungan; kejadian ini menarik perhatian luas. Peristiwa serupa “pemburu bot MEV” bukan yang pertama—pada 2023 pernah ada seorang validator berbahaya yang memakai logika serupa untuk mengambil sekitar 25 juta dolar AS dari beberapa bot sandwich; kali ini caranya lebih presisi, dengan mengganti upaya penembusan titik tunggal menggunakan 66 kontrak tiruan.
Dua versi angka kerugian: 7,5 juta dolar AS di rantai vs 15 juta dolar AS menurut perancang
Analisis on-chain Blockaid dan PeckShield sama-sama menetapkan kerugian sekitar 7,5 juta dolar AS. Perancang JaredFromSubway setelah kejadian mengklaim bahwa jika memasukkan bagian yang tidak terlihat secara langsung di on-chain, total kerugian mendekati 15 juta dolar AS, dan telah membuka hadiah 1 juta dolar AS dengan syarat penyerang mengembalikan dana.
Pertanyaan umum
Bagaimana penyerang membuat JaredFromSubway memberikan izin token tanpa disadari?
Menurut analisis Blockaid, 66 kontrak palsu yang diterapkan penyerang benar-benar meniru aset likuiditas tinggi asli (WETH, USDC, USDT), sehingga bagi logika pemindaian otomatis bot tidak ada bedanya dengan jalur yang sebenarnya. Setelah bot secara otomatis mengidentifikasi “peluang arbitrase” dan menyetujui pengeluaran token, kontrak terakhir penyerang memanfaatkan otorisasi yang sudah dibuka itu untuk menyapu sekali jalan aset asli. Sumber celah bukanlah cacat pada kode, melainkan logika mengejar keuntungan milik bot itu sendiri.
Apakah hadiah 1 juta dolar AS untuk JaredFromSubway bisa digunakan untuk mengembalikan dana?
Menurut pemberitaan, meskipun perancang JaredFromSubway telah membuka hadiah 1 juta dolar AS, dari kasus-kasus historis, tingkat pengembalian dana untuk kejadian serangan seperti ini sangat rendah. Artikel tersebut menyebutkan bahwa “kemungkinan bisa mengambil kembali uang ini, saat ini, tidak tinggi”.
Mengapa estimasi kerugian Blockaid dan perancang berbeda sangat besar (7,5 juta vs 15 juta)?
Menurut pemberitaan, analisis on-chain Blockaid dan PeckShield hanya dapat melacak kerugian aset on-chain yang terlihat langsung (sekitar 7,5 juta dolar AS); sedangkan klaim perancang JaredFromSubway sebesar 15 juta dolar AS mencakup bagian yang tidak terlihat secara langsung di on-chain, namun komposisi spesifiknya belum diungkapkan.
