Bot sanduíche da Ethereum Jaredfromsubway.eth perde US$ 7,5 mi em rotas falsas

Jaredfromsubway.eth, classificado como o maior bot sanduíche da Ethereum, perdeu US$ 7,5 milhões em um ataque de aprovação de rotas falsas. O atacante apresentou caminhos que o bot tratou como legítimos e usou as permissões concedidas para retirar WETH, USDC e USDT. Com conversão simples de 1.350 wons por dólar, o prejuízo fica perto de 10,1 bilhões de wons. O ponto simbólico é forte: um bot automatizado criado para lucrar com operações ao redor de outros usuários virou vítima de abuso de autorização.

Ataque de aprovação contra bot MEV

Bots sanduíche leem o fluxo de ordens em DEXs e inserem compras e vendas antes e depois de uma transação alvo. A estratégia depende de velocidade, rotas automatizadas, disputa por gas e permissões amplas de tokens. O ataque atingiu exatamente essa camada. Depois que Jaredfromsubway.eth aprovou as rotas falsas, o atacante usou a allowance aberta para mover ether encapsulado e stablecoins em dólar. O caso se aproxima mais de abuso de aprovação do que de roubo de chave privada.

Alerta para o mercado

US$ 7,5 milhões também é relevante para investidores coreanos, acima de 10 bilhões de wons. USDC e USDT são trilhos centrais de liquidez, enquanto WETH é usado em garantias e pares DeFi. Se os fundos roubados passarem por endereços e swaps diversos, exchanges coreanas podem intensificar o monitoramento de depósitos suspeitos e origem de carteiras externas. Usuários devem revisar aprovações antigas, permissões ilimitadas e routers não verificados.

Perspectiva

O episódio mostra que lucro em MEV não substitui segurança básica. Estratégias on-chain de alta frequência devem adotar listas permitidas de routers, limites de aprovação, bloqueio de anomalias em tempo real e saques por multisig. Para usuários comuns, a orientação é separar custódia em exchanges e autocustódia, e revogar permissões desnecessárias após usar DEXs.