JaredfromSubway.eth verlor 7,5 Millionen Dollar durch einen Honeypot-Exploit. Chainalysis verfolgte die Gelder direkt zu Tornado Cash. Hier ist, was passiert ist.
JaredfromSubway.eth baute sich einen Ruf als produktivster Sandwich-Angreifer von Ethereum auf. Seit 2023 spülte der Bot zig Millionen ein, indem er ahnungslose Händler frontrunte.
Am 20.–21. Juni 2026 wendete sich das Blatt.
Laut einem Bericht von Chainalysis setzte ein unbekannter Angreifer eine sorgfältig konstruierte Falle ein und entzog dem Bot bei einem einzigen koordinierten Schlag mindestens 7,5 Millionen Dollar.
Hier ist eine detaillierte Aufschlüsselung des Exploits und eine Nachverfolgung, wohin die gestohlenen Gelder gingen.
Lesen Sie auch:
https://www.livebitcoinnews.com/the-17m-mev-bot-exploit-thats-shaking-ethereum-traders/
Wie der Sandwich-Bot auf Ethereum funktionierte
Ethereums Mempool ist öffentlich einsehbar.
Jeder kann ausstehende Transaktionen sehen, bevor sie on-chain bestätigt werden. JaredfromSubway.eth nutzte dies aus, indem es Trades im Mempool erkannte und sich um sie herum positionierte.
Der Bot führte zuerst einen Frontrun auf die Order eines Benutzers aus, was den Preis nach oben trieb. Dann führte er einen Backrun auf denselben Trade aus und strich die Differenz ein.
Chainalysis beschreibt dies als klassisches Arbitrage-Sandwich. Die Strategie ist umstritten, wird aber in DeFi häufig eingesetzt.
Der Bot überwachte ständig Token-Pools und suchte nach Preisungleichgewichten, die er ausnutzen konnte. Wenn er eines fand, handelte er schnell. Geschwindigkeit war der entscheidende Vorteil, und das funktionierte jahrelang ohne Probleme.
Ethereum’s most notorious sandwich attacker just lost $7.5 million to a honeypot. Read our latest research explaining the theft, where the money’s gone, and how you can avoid getting hacked.https://t.co/5AaXDCwzGI pic.twitter.com/a72CFTZ8Or
— Chainalysis (@chainalysis) June 26, 2026
Der Honeypot-Exploit, der 7,5 Millionen Dollar abzog
Laut Chainalysis setzte der Angreifer 66 gefälschte Token-Verträge ein, die legitime Vermögenswerte nachahmen sollten.
Der Bot identifizierte diese Pools als Handelsmöglichkeiten und führte seine übliche Routine aus. Ein Teil dieser Routine bestand darin, den Smart Contracts, mit denen er interagierte, Token-Ausgabeberechtigungen zu erteilen. Diese Berechtigungen wurden nie widerrufen.
Die gefälschten Verträge enthielten keine echten Gewinne. Die Token-Paare waren erfunden. Der Bot bemerkte es nie und erteilte weiterhin Berechtigungen über mehrere Transaktionen hinweg.
Sobald genügend Berechtigungen angesammelt waren, wurde ein Tripwire-Vertrag aktiviert. Außerdem räumte er die echten Bestände des Bots in einer einzigen Transaktion ab und zog mindestens 7,5 Millionen Dollar in ETH und Stablecoins ab.
Der Angreifer behielt die Stablecoins nicht lange.
Sie in dieser Form zu belassen, birgt ein Risiko, da Emittenten Stablecoin-Guthaben einfrieren können. Innerhalb weniger Minuten, so Chainalysis, tauschte der Angreifer alles in ETH um, um ein mögliches Einfrieren zu verhindern.
Wohin die gestohlenen Gelder nach dem Angriff gingen
Chainalysis nutzte sein Reactor-Tool, um die gestohlenen Vermögenswerte nach dem Exploit zu verfolgen.
Der Angreifer verteilte die Gelder in den folgenden Tagen auf mehrere Wallets. Diese Transfers flossen schließlich in Tornado Cash, einen Mixer, der die On-Chain-Spur der Gelder verschleiert.
Zum Zeitpunkt des Chainalysis-Berichts wurden keine Gelder zurückgeholt.
Das Blockchain-Analyseunternehmen wies auf zwei Kernschwachstellen hin, die der Exploit offenlegte. Erstens verfallen nicht widerrufene Token-Berechtigungen nicht.
Jede Berechtigung, die ein Wallet einem Smart Contract erteilt, bleibt aktiv, bis der Benutzer sie manuell widerruft. JaredfromSubway.eth hatte Dutzende aktive Berechtigungen, die auf bösartige Verträge verwiesen, ohne es jemals zu merken.
Zweitens überprüfte der Bot nie die Verträge, mit denen er interagierte.
Chainalysis stellte fest, dass eine einfache Überprüfung auf Etherscan oder eine Durchsicht der Bereitstellungshistorie die 66 gefälschten Verträge hätte aufdecken können. Der Bot wurde für Geschwindigkeit und nicht für Überprüfung gebaut, und dieser Kompromiss kostete ihn 7,5 Millionen Dollar.
Schreibe einen Kommentar