Imaginez un bot ultra-sophistiqué conçu pour capturer les opportunités les plus fugaces sur Ethereum, soudain vidé de plusieurs millions de dollars par un adversaire qui a retourné ses propres mécanismes contre lui. C’est exactement ce qui est arrivé au célèbre JaredFromSubway, l’un des acteurs les plus connus de l’univers MEV.
Le piège d’approbations qui a coûté des millions au bot MEV le plus célèbre d’Ethereum
Dans le monde impitoyable de la finance décentralisée, où les millisecondes et les lignes de code décident de fortunes, un nouvel incident vient rappeler à quel point la vigilance reste essentielle. Le bot JaredFromSubway, reconnu pour ses opérations rapides et souvent controversées, a été la cible d’une attaque sophistiquée exploitant les approbations de tokens.
Cet événement, survenu récemment, met en lumière les vulnérabilités persistantes des systèmes automatisés dans l’écosystème Ethereum. Loin d’être un simple hack classique, cette attaque démontre une compréhension profonde du fonctionnement des bots MEV et de leur logique de trading automatique.
Qu’est-ce que le bot JaredFromSubway et pourquoi est-il si connu ?
JaredFromSubway s’est fait un nom dans la communauté Ethereum grâce à ses activités de sandwich attacks. Ces opérations consistent à placer des transactions avant et après un swap utilisateur pour capturer la différence de prix générée par le slippage. Bien que controversées, ces pratiques font partie intégrante du paysage MEV depuis plusieurs années.
Ce bot a notamment été mentionné lors d’interactions avec des figures emblématiques de l’écosystème, comme lors d’un swap modeste effectué par Vitalik Buterin lui-même. Sa consommation massive de gas lors de périodes intenses avait également attiré l’attention, représentant parfois jusqu’à 7 % de l’utilisation totale du réseau sur 24 heures.
Aujourd’hui, ce bot qui incarnait une certaine forme de domination dans l’espace MEV se retrouve du côté des victimes, perdant des sommes considérables dans un piège d’approbations astucieusement conçu.
« Cette attaque n’est ni un phishing classique ni une vulnérabilité traditionnelle dans le contrat de la victime. »
Comment l’attaquant a-t-il piégé le système automatisé ?
L’attaque repose sur une manipulation subtile des routes de trading que le bot considère comme profitables. En déployant des contrats contrôlés par l’attaquant, ce dernier a réussi à faire croire au bot qu’il existait des opportunités MEV intéressantes, l’incitant à accorder des approbations de tokens.
Initialement, l’attaquant a testé des routes où les approbations étaient immédiatement consommées. Puis, il a affiné sa stratégie pour laisser des approbations ouvertes, qui sont ensuite restées actives et ont permis le drain final.
Parmi les exemples concrets, on note une approbation d’environ 92 WETH vers un contrat helper contrôlé par l’attaquant. Ces permissions non révoquées ont ouvert la porte à des transferts massifs de WETH, USDC et USDT via des appels transferFrom.
Le rôle des faux contrats et des pools de liquidité fictifs
Pour rendre l’opération crédible aux yeux du bot, l’attaquant a déployé pas moins de 66 faux contrats de tokens imitant WETH, USDC et USDT. Ces contrats étaient associés à des pools de liquidité factices, créant l’illusion d’opportunités de trading réelles et attractives.
Cette approche démontre une maîtrise avancée des mécanismes d’Ethereum. Le bot, programmé pour réagir rapidement aux signaux du marché, n’a pas détecté la supercherie à temps, accordant ainsi les permissions fatales.
- Utilisation de contrats imitateurs pour tromper l’analyse du bot
- Création de routes MEV apparemment profitables
- Manipulation progressive des approbations pour éviter la détection
- Drain final via les permissions laissées ouvertes
Les estimations du montant drainé : entre 7,5 et 15 millions de dollars
Les chiffres divergent selon les sources. Les analyses on-chain d’une firme de sécurité spécialisée estiment la perte autour de 7,5 millions de dollars, tandis que le propriétaire du bot a publiquement déclaré une perte de 15 millions. Cette différence n’a pas encore été complètement clarifiée publiquement.
Face à cette situation, une prime de un million de dollars a été offerte pour le retour complet des fonds, avec promesse de confidentialité et sans questions. Une démarche qui montre l’urgence de récupérer une partie au moins de la trésorerie perdue.
Les implications pour la sécurité des bots automatisés sur Ethereum
Cet incident dépasse le simple cas isolé. Il révèle les risques inhérents aux systèmes qui opèrent de manière autonome avec des permissions élevées. Les approbations de tokens restent l’un des vecteurs d’attaque les plus courants dans la DeFi, et les bots MEV ne font pas exception malgré leur sophistication.
Les développeurs de ces outils doivent désormais repenser leurs mécanismes de validation des routes, la gestion des approbations et les contrôles de sécurité autour des interactions avec des contrats externes.
Le contexte plus large du MEV sur Ethereum
Le MEV, ou Miner Extractable Value (désormais souvent appelé Maximum Extractable Value), désigne la valeur que les validateurs ou les bots peuvent extraire en réorganisant ou en insérant des transactions dans les blocs. Depuis le passage à Proof of Stake, les dynamiques ont évolué mais les sandwich attacks restent une réalité.
JaredFromSubway faisait partie des acteurs les plus visibles dans cet espace. Ses opérations, tout en étant critiquées pour leur impact sur les utilisateurs finaux, illustraient la compétition féroce qui règne dans ce domaine hautement technique.
Pourquoi les approbations restent-elles un point faible majeur ?
Dans Ethereum, accorder une approbation via la fonction approve() d’un ERC-20 donne à un contrat tiers le droit de transférer un certain montant (ou un montant illimité) de tokens depuis votre adresse. Une fois accordée, cette permission reste active jusqu’à révocation explicite.
De nombreux protocoles et bots automatisés utilisent ces mécanismes pour fonctionner sans intervention humaine. Cependant, sans contrôles stricts sur la durée, le montant et la destination des approbations, le risque demeure élevé.
Cet événement souligne l’importance de limiter au maximum les approbations, de les révoquer régulièrement et de vérifier scrupuleusement les contrats avant toute interaction.
Analyse technique de l’attaque : les étapes clés
L’attaquant a commencé par des tests pour valider son approche. Des routes courtes ont permis de confirmer que le bot accordait bien des approbations. Ensuite, des routes plus complexes ont été utilisées pour maintenir ces permissions ouvertes sans consommation immédiate.
Le sweep final a consisté à utiliser ces approbations restantes pour transférer les actifs principaux : WETH en premier lieu, suivi de stablecoins comme USDC et USDT. Les transactions on-chain montrent clairement le mouvement vers un portefeuille contrôlé par l’attaquant.
Les réactions de la communauté et les enseignements à tirer
La communauté crypto a réagi avec un mélange de surprise et d’analyse technique approfondie. Cet incident relance le débat sur la régulation du MEV, la protection des utilisateurs et la nécessité d’outils de sécurité plus robustes pour les acteurs automatisés.
Pour les développeurs de bots, plusieurs pistes émergent : implémentation de whitelists strictes pour les contrats approuvés, simulation approfondie des routes avant exécution, et mécanismes de révocation automatique des approbations après usage.
- Évaluer systématiquement la confiance accordée à un contrat externe
- Limiter les montants approuvés au strict nécessaire
- Implémenter des délais d’expiration sur les permissions
- Utiliser des outils de simulation avancés avant toute transaction
- Surveiller en temps réel les approbations actives
Le futur des bots MEV face à ces nouvelles menaces
Cet événement pourrait marquer un tournant dans l’évolution des stratégies MEV. Les opérateurs devront investir davantage dans la sécurité offensive et défensive. Les solutions comme les Private RPC, les bundles protégés et les outils d’analyse en temps réel gagneront probablement en popularité.
Parallèlement, les plateformes DeFi pourraient renforcer leurs propres protections contre les imitations de contrats et les attaques par simulation de liquidité.
Comparaison avec d’autres incidents récents dans la DeFi
Bien que chaque hack ait ses spécificités, celui-ci se distingue par sa cible : un bot professionnel plutôt qu’un utilisateur lambda ou un protocole grand public. Il rappelle également des affaires passées où des approbations mal gérées ont conduit à des pertes massives.
La sophistication croissante des attaquants, souvent des experts en reverse engineering de smart contracts, oblige toute la communauté à élever son niveau de vigilance.
Conseils pratiques pour les utilisateurs et développeurs DeFi
Que vous opériez un bot ou que vous interagissiez simplement avec des protocoles DeFi, quelques règles de base s’imposent aujourd’hui plus que jamais :
- Utilisez des outils de révocation d’approbations comme Revoke.cash régulièrement
- Privilégiez les approbations limitées plutôt qu’illimitées
- Vérifiez toujours l’adresse du contrat avant signature
- Surveillez vos transactions via des explorateurs comme Etherscan
- Considérez l’utilisation de portefeuilles hardware pour les grosses sommes
L’impact potentiel sur la perception du MEV
Au-delà des pertes financières, cet incident alimente les critiques contre les pratiques MEV. Les sandwich attacks, déjà controversées, pourraient voir leur image se dégrader davantage si elles sont associées à des risques élevés pour les opérateurs eux-mêmes.
Cela pourrait accélérer l’adoption de solutions comme Flashbots ou d’autres mécanismes de protection des transactions contre le MEV négatif.
Perspectives pour Ethereum et la DeFi en 2026
Alors que le réseau Ethereum continue son évolution avec des mises à jour régulières, la sécurité des applications décentralisées reste un chantier permanent. Les développeurs, les auditeurs et les utilisateurs doivent collaborer pour élever les standards de sécurité.
Les incidents comme celui-ci, bien que douloureux pour les victimes, servent de catalyseurs pour des améliorations concrètes dans l’écosystème tout entier.
La résilience de la blockchain Ethereum a été prouvée à maintes reprises. Cependant, elle repose sur la capacité de ses participants à apprendre de chaque faille découverte et exploitée.
Conclusion : vigilance et innovation doivent aller de pair
L’histoire du bot JaredFromSubway drainé via un piège d’approbations restera comme un cas d’école dans l’univers crypto. Elle rappelle que même les acteurs les plus expérimentés peuvent tomber dans des pièges sophistiqués quand la garde est baissée.
Pour l’avenir, l’équilibre entre innovation rapide et sécurité rigoureuse sera déterminant. Les bots MEV continueront probablement d’évoluer, mais avec des couches de protection supplémentaires inspirées de cet incident.
La DeFi avance, parfois dans la douleur, mais chaque leçon apprise renforce l’ensemble de l’écosystème. Restez vigilants, vérifiez tout deux fois, et n’accordez jamais une confiance aveugle à un contrat, aussi prometteur soit-il.
Dans ce monde où le code est loi, la prudence reste la meilleure des protections.
