Bot sandwich Ethereum Jaredfromsubway.eth kehilangan $7,5 juta lewat rute palsu

Jaredfromsubway.eth, bot sandwich terbesar di Ethereum, kehilangan $7,5 juta melalui serangan approval rute trading palsu. Penyerang menampilkan rute yang diperlakukan bot sebagai jalur sah, lalu memakai izin yang diberikan untuk menarik WETH, USDC, dan USDT. Dengan konversi sederhana 1 dolar setara 1.350 won, kerugiannya sekitar 10,1 miliar won. Ironinya kuat: bot otomatis yang dirancang untuk mengambil keuntungan dari posisi transaksi pengguna lain justru menjadi korban penyalahgunaan approval.

Serangan approval pada bot MEV

Bot sandwich membaca aliran order di DEX dan menempatkan order beli serta jual sebelum dan sesudah transaksi target. Strategi ini bergantung pada kecepatan, otomatisasi rute, persaingan gas, dan izin token yang luas. Eksploit ini menyerang lapisan tersebut. Setelah Jaredfromsubway.eth menyetujui rute palsu, penyerang memakai allowance terbuka untuk memindahkan wrapped ether dan stablecoin berbasis dolar. Kasus ini lebih dekat ke penyalahgunaan token approval daripada pencurian private key.

Peringatan pasar

Kerugian $7,5 juta juga besar bagi investor Korea karena setara lebih dari 10 miliar won. USDC dan USDT adalah jalur likuiditas utama, sementara WETH banyak dipakai dalam collateral dan pasangan perdagangan DeFi. Jika dana curian melewati banyak alamat dan swap, exchange Korea dapat menghadapi tekanan lebih besar dalam memantau deposit mencurigakan dan asal wallet eksternal. Pengguna perlu meninjau approval lama, izin tanpa batas, dan router yang belum terverifikasi.

Prospek

Insiden ini menunjukkan bahwa profit MEV tidak bisa menggantikan desain keamanan dasar. Strategi on-chain berfrekuensi tinggi kemungkinan akan memakai whitelist router, batas approval, pemblokiran anomali real-time, dan kontrol penarikan multisig. Untuk pengguna biasa, langkah praktisnya adalah memisahkan aset di exchange dan self-custody, lalu mencabut approval token yang tidak diperlukan setelah memakai DEX.