Bot MEV khét tiếng trên Ethereum "sập bẫy", bị rút hơn 7,5 triệu USD

MEV Bot khét tiếng jaredfromsubway vừa bất ngờ trở thành nạn nhân của một vụ tấn công tinh vi khiến khoảng 7,5 triệu USD tài sản bị đánh cắp.

Bot MEV khét tiếng trên Ethereum "sập bẫy", bị rút hơn 7,5 triệu USD

MEV Bot chuyên sandwich attack trên Ethereum bị phản đòn

Ngày 21/06, cộng đồng crypto xôn xao trước thông tin ví liên quan đến bot MEV jaredfromsubway bị rút sạch một lượng lớn tài sản.

Ethereum's Well-Known MEV Bot JaredFromSubway Exploited, Suffers $7.5 Million Loss

Blockchain security firm Blockaid reported that Ethereum MEV bot JaredFromSubway lost approximately $7.5 million after attacker-controlled contracts tricked its automated execution system into… pic.twitter.com/jIGWAiDW9F

— Wu Blockchain (@WuBlockchain) June 20, 2026

Theo dữ liệu được nhà phân tích Specter phát hiện đầu tiên, vụ việc diễn ra vào khoảng 18:49 UTC khi hàng triệu USD tài sản bị chuyển khỏi ví của bot sang địa chỉ do hacker kiểm soát.

Công ty bảo mật Blockaid sau đó xác nhận số tài sản bị đánh cắp bao gồm khoảng 1.474,58 WETH, 2,87 triệu USDC và gần 2 triệu USDT, với tổng giá trị ước tính khoảng 7,5 triệu USD.

Sau khi thực hiện vụ việc, kẻ tấn công nhanh chóng hoán đổi toàn bộ số tài sản đánh cắp thành khoảng 4.427 ETH, tương đương 7,7 triệu USD theo giá thị trường hiện tại.

The MEV bot jaredfromsubway was exploited for $7.7M!

Including:
1,583.5 $ETH($2.75M)
2.87M $USDC
2.09M $USDT

The attacker has already swapped all the funds for 4,427 $ETH($7.7M).

So far, 1,000 $ETH has been deposited into #TornadoCash for laundering.https://t.co/HtASjgLM11 pic.twitter.com/LdneXLw0Vq

— Lookonchain (@lookonchain) June 21, 2026

Dữ liệu từ Lookonchain cho thấy đối tượng này đã chuyển tiếp 1.000 ETH vào dịch vụ trộn coin Tornado Cash nhằm che giấu dấu vết dòng tiền.

jaredfromsubway là một trong những MEV bot nổi tiếng nhất Ethereum kể từ đầu năm 2023. Tên gọi của bot là cách chơi chữ dựa trên Jared Fogle, cựu đại diện thương hiệu bánh mì Subway nhằm ám chỉ chiến thuật "sandwich attack" mà bot sử dụng để kiếm tiền.

Bot này ban đầu nổi tiếng vì nhắm mục tiêu vào các giao dịch memecoin PEPE và kiếm được hơn 1,7 triệu USD lợi nhuận trong khoảng 7 ngày khi khối lượng giao dịch PEPE đạt đỉnh

Phiên bản Jared 2.0 sau đó từng xử lý hơn 85.000 giao dịch và có thời điểm trở thành địa chỉ tiêu tốn phí gas nhiều nhất toàn bộ mạng Ethereum.

Mới hồi tháng 5, bot này còn gây chú ý khi thực hiện sandwich attack một giao dịch nhỏ của đồng sáng lập Ethereum Vitalik Buterin bằng lượng vốn hơn 1,14 triệu USD WETH, thu về lợi nhuận 15 USD.

only $15 though lol but yes vitalik dumped a random memecoin on uniswap and got sandwiched by jaredfromsubway

V regularly clears out random airdrop tokens from his wallet and donates the proceeds to charity. https://t.co/dlECjfmt1p pic.twitter.com/B7ZYHky2f5

— Uttam (@uttam_singhk) May 7, 2026

Trớ trêu thay, sau nhiều kỷ lục lợi nhuận bằng cách khai thác các giao dịch của người khác, jaredfromsubway cuối cùng lại trở thành nạn nhân của một cái bẫy được thiết kế riêng cho chính những bot MEV như mình.

"Gậy ông đập lưng ông"

Theo phân tích từ @0xdoug, đây là một vụ tấn công dạng "counter-MEV honeypot" được chuẩn bị trong nhiều tuần nhằm đánh lừa hệ thống giao dịch tự động của jaredfromsubway.

Basically the attacker created a bunch of “fake wrapper” that mint-wrapped real tokens like WETH/USDC/USDT.

Jared was boiled like a frog. Juicy arbitrages on real pools with the fake wrappers. Jared started small to test the waters, made money, things looked safe, then scaled up https://t.co/2FvQjSHj6u pic.twitter.com/eIYn9o4aYH

— Doug Colkitt (@0xdoug) June 21, 2026

Thay vì tấn công trực diện, kẻ đứng sau tạo ra hàng chục token wrapper giả mạo như fWETH, fUSDC và fUSDT, đồng thời xây dựng nhiều pool thanh khoản được thiết kế để trông giống những cơ hội arbitrage hoặc sandwich attack có lợi nhuận cao.

Đối với jaredfromsubway, đây chẳng khác nào những "mỏ vàng" mà bot được lập trình để săn tìm mỗi ngày.

Ban đầu, mọi thứ diễn ra hoàn toàn bình thường. Các giao dịch đều mang lại lợi nhuận thật, khiến bot dần tin tưởng những hợp đồng này. Để thực hiện giao dịch, bot phải cấp quyền sử dụng token (ERC20 allowance) cho các wrapper contract. Tuy nhiên ở giai đoạn đầu, những quyền này chỉ ở mức rất nhỏ, chẳng hạn như 0,007 WETH, 13 USDT hoặc 28 USDC.

Điểm tinh vi nằm ở chỗ các hợp đồng này hoạt động hoàn toàn bình thường trong suốt nhiều tuần đầu tiên. Chúng không chỉ không có dấu hiệu đáng ngờ mà còn liên tục mang lại lợi nhuận thực sự cho bot. Chính điều đó khiến hệ thống của Jared ngày càng tin tưởng và tiếp tục cấp thêm quyền sử dụng tài sản cho các hợp đồng ấy.

Sau khi đã xây dựng được lòng tin, các giao dịch tiếp tục được thực hiện bình thường nhưng quy mô tài sản được bot cho phép sử dụng ngày càng lớn hơn. Theo dữ liệu on-chain, ngay trước thời điểm vụ drain diễn ra, mỗi hợp đồng đã được cấp quyền sử dụng khoảng 92 WETH, 143.000 USDC và 149.000 USDT.

Nói cách khác, bot đã vô tình trao cho những hợp đồng này quyền tiếp cận lượng tài sản trị giá hàng trăm nghìn USD mà không hề nhận ra mình đang rơi vào bẫy.

Đáng chú ý, kẻ tấn công chưa từng vượt qua bất kỳ lớp bảo mật nào của Jared. Thay vào đó, thủ phạm chỉ đơn giản khiến bot tự nguyện cấp quyền sử dụng tài sản cho các hợp đồng giả mạo. Vì những quyền này vẫn hoàn toàn hợp lệ trên blockchain, hacker có thể sử dụng chúng bất cứ lúc nào.

Sau nhiều tuần âm thầm chuẩn bị, hacker cuối cùng kích hoạt bước cuối cùng của kế hoạch.

Một giao dịch duy nhất được gửi lên mạng lưới để đồng loạt kích hoạt hàng chục hợp đồng đã được cài cắm từ trước. Các hợp đồng này ngay lập tức sử dụng những quyền được cấp để chuyển tài sản từ ví của jaredfromsubway sang địa chỉ do hacker kiểm soát.

Chỉ trong vài giây, khoảng 1.474 WETH, 2,87 triệu USDC và gần 2 triệu USDT đã bị rút khỏi ví của bot, tương đương khoảng 7,5 triệu USD theo giá thị trường.

Cơ chế tấn công này được nhiều chuyên gia gọi là "block-armed switch" khi cùng một hợp đồng có thể hoạt động hoàn toàn bình thường trong các giao dịch thử nghiệm nhỏ, nhưng sẽ chuyển sang trạng thái độc hại khi đạt đủ điều kiện.

Danh tính của thủ phạm hiện vẫn chưa được xác định, trong khi chưa rõ liệu còn những bot MEV nào khác đã hoặc sẽ trở thành nạn nhân của chiến thuật tương tự trong thời gian tới.

Giả mạo bot Jared để lừa hacker chuyển lại tiền

Sau vụ việc, một tài khoản sử dụng tên jaredfromsubway trên mạng xã hội X đã tuyên bố bot thiệt hại tới 15 triệu USD và đề nghị trả thưởng 1 triệu USD cho bất kỳ ai giúp truy tìm thủ phạm.

Well played. We are willing to offer a 50% white hat bounty if you return 2150 ETH to this address in the next 48 hours, otherwise we will pursue all available legal and law-enforcement remedieshttps://t.co/Na6EcV5bny

— Jaredfromsubway (@0xsubwayeater) June 22, 2026

Tuy nhiên, nhiều người cho rằng tài khoản trên có khả năng chỉ là giả mạo. Theo hồ sơ người dùng trên X, tài khoản này đã nhiều lần đổi tên trong quá khứ và từng đăng tải các nội dung quảng bá token scam.

Trong khi đó, cộng đồng X thì lại lan truyền giao dịch từ địa chỉ ví của jaredfromsubway.eth gửi đến ví hacker, ycho phép kẻ tấn công giữ lại đến 50% số tiền lấy cắp với điều kiện phải hoàn trả phần còn lại, nếu không Jared sẽ yêu cầu cơ quan chức năng vào cuộc.

Jaredfromsubway offered a 50% bounty to exploitor just now pic.twitter.com/C9FZUzKBpL

— 青十五 (@mev15_eth) June 22, 2026

Coin68 tổng hợp