Le bot qui piégeait piégé à son tour
Samedi dernier, l’écosystème Ethereum a assisté à un retournement inattendu : Jaredfromsubway.eth, le bot MEV le plus redouté du réseau, a été victime d’une attaque sophistiquée qui lui a coûté plus de 7,5 millions de dollars. Ce bot automatisé, actif depuis début 2023, s’était imposé comme la figure dominante des “sandwich attacks”, des opérations où il intercepte les transactions des traders pour en tirer profit. Entre novembre 2024 et octobre 2025, Jaredfromsubway.eth aurait orchestré près de 70% de ces attaques sur Ethereum, soit entre 60 000 et 90 000 opérations par mois.
L’ironie est mordante : celui qui avait bâti sa réputation sur l’exploitation systématique des autres utilisateurs vient d’être exploité à son tour par une attaque exploitant ses propres automatismes.
Un stratagème d’imitation redoutable
L’attaque s’est appuyée sur la création de dizaines de faux contrats de tokens et de pools de liquidité, imitant des actifs majeurs comme Wrapped ETH (WETH), USDC et USDT. L’assaillant a déployé pas moins de 66 contrats frauduleux afin de tromper le bot. En leur donnant l’apparence exacte des vrais tokens et pools utilisés quotidiennement sur Ethereum, il a réussi à faire croire au bot que ces contrats étaient légitimes.
Les faux contrats déployés par l’attaquant imitaient précisément les adresses des pools de liquidité WETH, USDC et USDT, rendant la supercherie indétectable pour l’algorithme du bot.
Le piège s’est refermé lorsque Jaredfromsubway.eth a approuvé ces contrats frauduleux pour qu’ils puissent dépenser ses fonds. Cette étape cruciale a permis à l’attaquant de vider progressivement les comptes du bot en transférant les actifs vers ses propres adresses. D’après cointelegraph.com, cette manipulation technique a été possible grâce à une compréhension fine du fonctionnement interne du bot MEV et des failles potentielles dans sa logique d’approbation automatique.
Voir Aussi
Des millions envolés en quelques minutes
En quelques minutes seulement, plus de 7,5 millions de dollars ont disparu des portefeuilles contrôlés par Jaredfromsubway.eth.
Une partie significative de ce montant a ensuite été envoyée vers Tornado Cash, un service controversé permettant d’anonymiser les flux financiers sur Ethereum. Ce recours immédiat au mixeur crypto rend difficile la traçabilité des fonds volés et complique toute tentative de récupération ou d’identification du ou des auteurs. L’utilisation de Tornado Cash n’est pas anodine : elle souligne l’efficacité opérationnelle et la discrétion recherchée par l’attaquant.
Au-delà du montant spectaculaire dérobé en une seule attaque, cet événement met en lumière la vulnérabilité potentielle même des bots les plus avancés lorsqu’ils évoluent dans un environnement où chaque faille peut être exploitée à grande échelle.
Vitalik Buterin, victime malgré lui
La notoriété de Jaredfromsubway.eth n’est pas née d’hier : en mai dernier, il avait déjà fait parler de lui après avoir “sandwiché” une transaction du cofondateur d’Ethereum lui-même.
Lors d’un swap impliquant 26 544 DigitalBits (pour seulement 2,11 dollars), Vitalik Buterin s’était retrouvé pris au piège du bot qui avait misé plus d’un million de dollars pour un gain net dérisoire—seulement quatre dollars selon les données analysées alors. Ce type d’opération illustre la puissance algorithmique déployée par le bot pour capter la moindre opportunité sur le réseau Ethereum, parfois jusqu’à l’excès.
Cette anecdote souligne que même les figures majeures du secteur ne sont pas à l’abri des stratégies agressives mises en œuvre par certains acteurs automatisés. Le fait que ce même bot ait fini par tomber dans un piège similaire renforce le sentiment que nul n’est invulnérable dans cet écosystème hautement compétitif et évolutif.
Pourquoi ça compte ?
Les sandwich attacks orchestrées par Jaredfromsubway.eth coûtent environ 60 millions de dollars par an aux traders sur Ethereum. Cette attaque inversée rappelle que même les outils les plus sophistiqués restent exposés à l’ingéniosité malveillante dès lors qu’ils opèrent sans contrôle humain direct. La multiplication récente des attaques—jusqu’à 90 000 par mois—montre que le phénomène reste massif et structurel dans la finance décentralisée actuelle.
L’épisode met aussi en lumière la nécessité pour les développeurs DeFi et MEV d’intégrer davantage d’audits et de garde-fous dans leurs codes automatisés. Si la logique algorithmique peut offrir un avantage concurrentiel certain, elle expose aussi ses propriétaires à des risques systémiques majeurs dès lors qu’une faille est identifiée puis exploitée méthodiquement. Pour beaucoup d’observateurs, cette affaire pourrait bien marquer un point d’inflexion dans la guerre technologique qui oppose bots offensifs et défenseurs du réseau Ethereum.
Les développements attendus
Si Jaredfromsubway.eth, responsable de 70% des sandwich attacks sur Ethereum entre novembre 2024 et octobre 2025, ne reprend pas ses activités après la perte de plus de 7,5 millions de dollars lors de l’attaque survenue samedi, le volume mensuel d’attaques sandwich (actuellement entre 60 000 et 90 000) pourrait chuter immédiatement ; toutefois, la réapparition du bot ou l’émergence d’un nouvel acteur dominant reste incertaine à ce stade.