JaredfromSubway.eth a perdu 7,5 millions de dollars dans une exploitation de type honeypot. Chainalysis a suivi les fonds directement vers Tornado Cash. Voici ce qui s’est passé.
JaredfromSubway.eth s’est forgé une réputation d’attaquant sandwich le plus prolifique d’Ethereum. Depuis 2023, le robot a encaissé des dizaines de millions en anticipant les transactions de traders non méfiants.
Les 20 et 21 juin 2026, la situation s’est inversée.
Selon un rapport de Chainalysis, un attaquant inconnu a déployé un piège soigneusement conçu, drainant au moins 7,5 millions de dollars du robot en une seule frappe coordonnée.
Voici une analyse détaillée de l’exploit et de la destination des fonds volés.
Lire aussi :
https://www.livebitcoinnews.com/the-17m-mev-bot-exploit-thats-shaking-ethereum-traders/
Comment le robot sandwich opérait sur Ethereum
Le mempool d’Ethereum est visible publiquement.
N’importe qui peut voir les transactions en attente avant qu’elles ne soient confirmées sur la chaîne. JaredfromSubway.eth a exploité cela en repérant les transactions dans le mempool et en s’insérant autour d’elles.
Le robot exécutait d’abord une transaction avant l’ordre d’un utilisateur, faisant monter le prix. Ensuite, il exécutait une transaction après la même opération, empochant la différence.
Chainalysis décrit cela comme un sandwich d’arbitrage classique. La stratégie est controversée mais largement utilisée dans la DeFi.
Le robot surveillait constamment les pools de tokens, cherchant des déséquilibres de prix à exploiter. Quand il en trouvait un, il agissait rapidement. La vitesse était son seul avantage, et cela a fonctionné pendant des années sans problème.
Ethereum’s most notorious sandwich attacker just lost $7.5 million to a honeypot. Read our latest research explaining the theft, where the money’s gone, and how you can avoid getting hacked.https://t.co/5AaXDCwzGI pic.twitter.com/a72CFTZ8Or
— Chainalysis (@chainalysis) June 26, 2026
L’exploit Honeypot qui a drainé 7,5 millions de dollars
Selon Chainalysis, l’attaquant a déployé 66 contrats de tokens factices conçus pour imiter des actifs légitimes.
Le robot a identifié ces pools comme des opportunités de trading et a exécuté sa routine habituelle. Une partie de cette routine consistait à accorder des approbations de dépense de tokens aux contrats intelligents avec lesquels il interagissait. Ces approbations n’ont jamais été révoquées.
Les contrats factices ne contenaient aucun profit réel. Les paires de tokens étaient fabriquées. Le robot ne s’en est jamais aperçu et a continué à accorder des approbations sur plusieurs transactions.
Une fois suffisamment d’autorisations accumulées, un contrat déclencheur est activé. Il a alors balayé les avoirs réels du robot en une seule transaction, retirant au moins 7,5 millions de dollars en ETH et en stablecoins.
L’attaquant n’a pas conservé les stablecoins longtemps.
Les laisser sous cette forme comportait un risque puisque les émetteurs peuvent geler les soldes de stablecoins. En quelques minutes, selon Chainalysis, l’attaquant a tout converti en ETH pour bloquer tout gel potentiel.
Où sont allés les fonds volés après l’attaque
Chainalysis a utilisé son outil Reactor pour suivre les actifs volés après l’exploit.
L’attaquant a réparti les fonds sur plusieurs portefeuilles au cours des jours suivants. Ces transferts ont finalement abouti dans Tornado Cash, un mixeur qui masque la trace des fonds sur la chaîne.
Au moment du rapport de Chainalysis, aucun fonds n’a été récupéré.
La société d’analyse blockchain a souligné deux vulnérabilités principales exposées par l’exploit. Premièrement, les approbations de tokens non révoquées n’expirent pas.
Chaque approbation qu’un portefeuille accorde à un contrat intelligent reste active jusqu’à ce que l’utilisateur l’annule manuellement. JaredfromSubway.eth avait des dizaines d’approbations actives pointant vers des contrats malveillants sans jamais s’en rendre compte.
Deuxièmement, le robot n’a jamais vérifié les contrats avec lesquels il interagissait.
Chainalysis a noté qu’une vérification de base sur Etherscan ou un examen de l’historique de déploiement aurait pu signaler les 66 contrats factices. Le robot a été conçu pour la vitesse, pas pour la vérification, et ce compromis lui a coûté 7,5 millions de dollars.
Laisser un commentaire