Aproape trei ani, un singur program automat a fost spaima oricui tranzacționa pe Ethereum. Nu avea chip, nu avea proprietar cunoscut și nu dormea niciodată. Scana fiecare tranzacție aflată în așteptare și, ori de câte ori mirosea profit, se strecura în fața utilizatorilor obișnuiți ca să le ciupească câțiva dolari din fiecare schimb.
I se spunea JaredFromSubway.eth, iar reputația lui ajunsese atât de proastă încât mulți oameni din comunitatea cripto îl tratau ca pe o taxă invizibilă, plătită fără voie de toți cei care foloseau un exchange descentralizat.
Săptămâna trecută, vânătorul a devenit pradă. Botul a fost ademenit într-o capcană construită cu răbdare și golit de criptomonede în valoare de aproximativ 7,5 milioane de dolari. Ce a făcut povestea să circule prin tot ecosistemul nu este suma, deși e una considerabilă, ci felul în care a căzut.
Nimeni nu i-a spart contractul, nimeni nu i-a furat cheia privată și nimeni nu l-a păcălit printr-un link de phishing. A fost prins exact prin lucrul care îl făcea atât de eficient, propria logică de a căuta profit la viteză de mașină.
Ce s-a întâmplat cu botul JaredFromSubway?
În weekendul de 20 și 21 iunie 2026, mai mulți cercetători blockchain au observat mișcări neobișnuite în portofelele asociate botului. Analistul on-chain Specter a fost printre primii care a semnalat public scurgerea de fonduri și a cerut comunității ajutor pentru a reconstitui ce se întâmplase.
La scurt timp, firma de securitate Blockaid a confirmat că sistemul ei de detecție a exploatărilor surprinsese o tranzacție prin care erau extrase WETH, USDC și USDT din contractele controlate de JaredFromSubway.
Cifrele s-au limpezit repede. Atacatorul a scos aproximativ 1.474 de WETH, adică Ether împachetat în valoare de circa 2,6 milioane de dolari, alături de 2,87 milioane de dolari în USDC și aproape 2 milioane de dolari în USDT. Totalul a depășit pragul de 7,5 milioane de dolari, iar pe lanțul de blocuri totul rămâne vizibil pentru oricine vrea să urmărească firele.
Tranzacția de drenare care a încheiat operațiunea poate fi consultată în Etherscan, la fel ca adresa botului, etichetată jaredfromsubway: MEV Bot 2 și activă din august 2024.
Cazul a rămas memorabil tocmai prin ironia lui. Botul care ani la rând profitase de pe urma neatenției altora a fost doborât pentru că nu și-a pus suficiente întrebări atunci când a dat peste oportunități prea bune ca să fie adevărate.
Cine este JaredFromSubway.eth?
Numele sună aproape comic, însă referința din spatele lui e sumbră. Operatorul și-a ales porecla ca pe o aluzie acidă la Jared Fogle, fostul purtător de imagine al lanțului de sandvișuri Subway, condamnat ulterior pentru infracțiuni sexuale. Nici compania de fast-food, nici fostul ei ambasador nu au vreo legătură cu activitatea botului, dar alegerea numelui spune ceva despre tonul provocator al persoanei sau grupului din spatele operațiunii.
Dincolo de poreclă, JaredFromSubway a fost un fenomen tehnic. A devenit cunoscut în primăvara lui 2023, când într-o singură zi a ars peste un milion de dolari în taxe de gas, aproape opt la sută din tot ce cheltuia rețeaua Ethereum pe comisioane în ziua aceea. Cifra arăta cât de profitabilă putea deveni activitatea dacă era industrializată cu disciplină.
Analizele ulterioare i-au atribuit o felie uriașă din tot ce înseamnă astfel de atacuri. Rapoarte citate de presa de specialitate au legat botul de aproximativ 70 la sută din atacurile de tip sandwich petrecute pe Ethereum între noiembrie 2024 și octombrie 2025. În aceeași perioadă, rețeaua înregistra între șaizeci de mii și nouăzeci de mii de astfel de atacuri pe lună. Pentru un utilizator obișnuit, asta însemna că șansa de a fi ciupit măcar o dată nu era deloc neglijabilă.
Operatorul nu a folosit un singur program de la început până la sfârșit. Botul prins în capcană era a doua iterație, iar cele două versiuni au procesat împreună în jur de 6,4 milioane de tranzacții. Prin orice măsură, vorbim despre una dintre cele mai mari și mai constante surse de presiune pe care le-a cunoscut ecosistemul DeFi.
Episodul cu Vitalik Buterin
Dacă mai erau îndoieli legate de cât de oportunist devenise programul, luna mai a anului 2026 le-a spulberat. Botul a prins într-un sandwich o tranzacție minusculă făcută chiar de Vitalik Buterin, cofondatorul Ethereum. A pus la bătaie peste 1,14 milioane de dolari în taxe ca să se strecoare în fața unui schimb care valora doar câțiva dolari, iar câștigul net a fost tot de ordinul câtorva dolari.
Pe hârtie pare o pierdere absurdă, însă pentru un sistem care scanează tot ce mișcă în mempool, orice oportunitate ajunge să fie testată. Botul nu mai avea o strategie de selecție rafinată, vâna pur și simplu orice, oricât de neînsemnat.
Ce este MEV și cum funcționează un atac sandwich?
Termenul MEV vine de la maximal extractable value, valoarea maximă care poate fi extrasă. La origine i se spunea miner extractable value, dar conceptul a rămas neschimbat și după trecerea Ethereum la proof of stake. Ideea de bază e surprinzător de simplă odată ce o privești dintr-un unghi potrivit.
Pe un blockchain transparent, tranzacțiile nu se execută instantaneu. Ele așteaptă într-o zonă de tranzit numită mempool înainte de a intra într-un bloc. Cine asamblează blocul decide ce tranzacții intră și în ce ordine. Puterea de a ordona pare tehnică și inofensivă, însă ascunde un avantaj enorm. Dacă vezi ce intenționează ceilalți să facă înainte ca acțiunea lor să devină definitivă, poți profita de pe urma acelei informații.
Atacul sandwich e cea mai cunoscută formă a strategiei și se desfășoară ca o capcană strânsă în jurul unei singure tranzacții. Botul observă un ordin mare aflat în așteptare, unul care va împinge prețul unui token într-o direcție previzibilă. Se așază mai întâi în fața lui, cumpără la prețul vechi și împinge cotația în sus.
Tranzacția victimei se execută apoi la un preț mai prost decât cel sperat. Imediat după, botul vinde la noul preț umflat și încasează diferența. Victima rămâne cu un schimb mai scump, iar botul pleacă cu profitul, după ce plătește constructorilor de blocuri un bacșiș ca să fie inclus exact la poziția potrivită.
Costul acestui comportament pentru utilizatorii Ethereum a fost estimat la aproximativ 60 de milioane de dolari pe an. Sunt bani luați nu printr-o spargere spectaculoasă, ci câte puțin, de la zeci de mii de oameni care nici nu și-au dat seama ce s-a întâmplat. Tocmai discreția lui a transformat MEV-ul într-una dintre cele mai disputate teme din finanțele descentralizate. Unii îl numesc parazitism digital, alții îl văd ca pe un efect inevitabil al sistemelor deschise.
Cum a funcționat capcana honeypot?
Ca să doboare un astfel de sistem, atacatorul nu a căutat o vulnerabilitate clasică. A studiat comportamentul botului și i-a construit un mediu fals în care logica programului avea să se întoarcă împotriva lui. Blockaid a descris întreaga operațiune drept un counter-MEV honeypot, o capcană cu miere îndreptată chiar împotriva celor care vânează valoare extractabilă.
Raz Niv, directorul tehnic al firmei, a fost categoric când a explicat că nu a fost vorba nici de phishing, nici de o cheie privată compromisă, nici de o eroare în codul contractului victimei.
Pregătirea a cerut câteva săptămâni de răbdare. Atacatorul a creat 66 de contracte de token false, gândite să imite numele și interfețele unor active reale precum WETH, USDC și USDT. Fiecare imitație a fost cuplată cu un bazin de lichiditate fals, iar rutele de tranzacționare au fost aranjate astfel încât sistemul automat al botului să le citească drept oportunități legitime de arbitraj.
Arhitectura pe care a documentat-o echipa de securitate Beosin era surprinzător de elaborată. Un contract coordonator ținea evidența blocurilor pregătite pentru lovitură. Un altul aranja, în interiorul aceluiași bloc, stările falselor perechi de tranzacționare, ca ruta să pară executabilă în momentul potrivit.
Tokenii falși colectau aprobările pe măsură ce botul interacționa cu ei, iar un contract central plătea din când în când mici profituri reale, doar cât să întrețină impresia că totul merge bine. În esență, atacatorul a ridicat un decor de teatru atât de convingător încât botul a jucat în piesă fără să bănuiască nimic.
Momeala care a creat încrederea
Prima fază a fost una de câștigare a încrederii, deși cuvântul sună ciudat aplicat unei mașini. Botul a fost lăsat să obțină câștiguri mici, dar reale, pe perechile false. Tranzacțiile de probă consumau pe loc aprobările acordate, exact cum se întâmplă în arbitrajul obișnuit. Totul părea normal, profitabil și sigur. Pentru un sistem care își bazează deciziile pe simularea profitului, atât a fost de ajuns ca să marcheze acele rute drept oportunități de încredere.
Faza a doua a strecurat otrava. Atacatorul a introdus rute care lăsau aprobările neutilizate. Aici intervine detaliul tehnic care a decis întreaga poveste și pe care se sprijină totul.
De ce contează aprobările ERC-20?
Pe Ethereum, când un contract vrea să folosească tokenii altcuiva, are nevoie de o permisiune numită approval sau allowance. E ca și cum i-ai da cuiva acces la o parte din contul tău, cu mențiunea că poate retrage până la o anumită sumă. Problema este că permisiunea nu dispare singură după ce tranzacția s-a încheiat. Rămâne deschisă până când cineva o revocă în mod explicit.
În cazul de față, botul a acordat aprobări unor contracte ajutătoare controlate de atacator, convins că le va folosi pe loc în cadrul schimburilor. La rutele de probă chiar așa s-a întâmplat. La rutele otrăvite, în schimb, aprobările au rămas active. O singură astfel de permisiune a deschis accesul la peste 92 de WETH. Pe măsură ce botul atingea tot mai multe perechi false, lista de aprobări deschise creștea, ca un set de chei uitate în uși.
Lovitura finală a venit într-o singură tranzacție. Atacatorul a apelat funcția de drenare a contractului coordonator, care conținea adresele celor 66 de contracte și adresa botului.
Fiecare contract care primise o aprobare deschisă a transferat pur și simplu tokenii reali către atacator, prin comanda transferFrom. Într-o mișcare bine cronometrată, banii adevărați au plecat. CoinDesk a relatat că o parte din sumele furate au fost trecute ulterior prin mixerul Tornado Cash, instrumentul folosit de obicei pentru a îngreuna urmărirea fondurilor pe lanț.
Concluzia tehnică pe care au desprins-o cei mai mulți specialiști e una pe care orice dezvoltator de boturi ar trebui să o țină minte. Profitul simulat nu e suficient pentru a decide dacă o rută este sigură. Când o cale de arbitraj implică tokeni necunoscuți sau contracte personalizate, ar trebui verificat dacă aprobările rămân deschise după execuție și revocate imediat ce nu mai sunt necesare.
Ce urmări a avut atacul?
Odată ce vestea s-a răspândit, ecosistemul a reacționat cum o face de obicei, cu un amestec de satisfacție răutăcioasă și oportunism, peste care s-a așezat repede un strat gros de dezinformare.
Mesajul operatorului către hoț
Cea mai surprinzătoare reacție a venit chiar de la operatorul botului. Printr-o tranzacție pe lanț, acesta a trimis atacatorului un mesaj scris direct în câmpul de date al transferului. Textul începea cu un calm aproape sportiv, recunoscând că lovitura fusese bine executată. Apoi tonul se schimba brusc. Operatorul cerea înapoi 2.150 de ETH, aproximativ jumătate din suma furată, într-un interval de 48 de ore. În caz contrar, amenința că va folosi toate mijloacele legale și toate căile de aplicare a legii pe care le are la dispoziție.
E un moment ciudat de privit. Un program acuzat ani la rând că extrage valoare din buzunarele altora invoca acum justiția pentru a-și recupera banii pierduți într-o capcană. Mulți observatori au remarcat ironia, mai ales că între timp și alți utilizatori îi trimiteau atacatorului propriile mesaje.
Reacția comunității
Pe lanț au apărut o serie de mesaje adresate atacatorului de către persoane care se prezentau drept victime ale operațiunilor MEV ale botului. Unele cereau despăgubiri pentru pierderile suferite de-a lungul timpului. Cel puțin un utilizator l-a numit pe atacator Robin Hood în pălărie albă, o trimitere amuzantă la ideea de hacker etic care fură de la cei puternici. Altele au fost mult mai puțin subtile și greu de redat într-un text echilibrat.
Unda de simpatie spune ceva despre felul în care comunitatea percepe MEV-ul toxic. Pentru mulți, botul nu era o victimă, ci un prădător care în sfârșit primise o lecție. Faptul că aproape nimeni nu a sărit în apărarea lui arată cât de adâncă rămâne nemulțumirea față de această practică.
Escrocii care au profitat de confuzie
Ca la orice eveniment cripto major, escrocii au apărut imediat. Un cont de X redenumit recent jaredsmev a început să distribuie oferte false de recompensă, promițând sume între un milion și 7,5 milioane de dolari și citând o pierdere totală eronată, vehiculată pe larg, de 15 milioane de dolari. Confuzia legată de cifre a hrănit și mai mult dezinformarea.
Momentul cel mai jenant a venit din partea unei publicații consacrate. Cointelegraph, cu cele aproape trei milioane de urmăritori ai săi pe X, a redistribuit la un moment dat una dintre ofertele escrocului, înainte de a șterge postarea. Episodul a fost un memento neplăcut despre cât de ușor circulă informația falsă chiar și prin canale care ar trebui să o filtreze.
Au mai fost păcălite boturile MEV până acum?
Cazul JaredFromSubway nu este un accident izolat, ci ultima verigă dintr-un șir mai lung de confruntări între boturile MEV și cei care vor să le doboare. În 2023, un validator necinstit a reușit să dreneze aproximativ 25 de milioane de dolari de la mai multe boturi de tip sandwich, profitând de poziția privilegiată pe care o avea în procesul de construire a blocurilor. Lecția fusese aceeași și atunci.
Sistemele care operează la viteză de mașină, fără supraveghere umană directă, pot fi manipulate tocmai pentru că reacționează automat la semnale.
Diferența stă în metodă. Atacul din 2023 s-a folosit de controlul asupra ordonării tranzacțiilor. Atacul din 2026 nu a avut nevoie de niciun privilegiu special asupra rețelei. I-au fost de ajuns răbdarea, contractele false și o înțelegere fină a felului în care gândește un bot de arbitraj. Evoluția e îngrijorătoare, fiindcă arată că nu îți trebuie putere asupra infrastructurii ca să dobori un astfel de sistem. Îți trebuie doar timp și o bună cunoaștere a adversarului.
Contextul mai larg apasă în aceeași direcție. Al doilea trimestru al lui 2026 a fost unul dintre cele mai dificile din istoria recentă a Ethereum din punct de vedere al securității, cu un număr record de incidente și sute de milioane de dolari pierduți. Particularitatea acestui caz ține de identitatea victimei.
Nu a fost vorba de un protocol, de un DAO sau de un custode care administra banii unor utilizatori obișnuiți, ci de un singur bot care își gestiona propriile fonduri și care, până atunci, fusese mai degrabă agresor decât țintă.
Ce înseamnă cazul pentru utilizatorii obișnuiți?
Pentru cineva care doar cumpără și vinde criptomonede din când în când, povestea poate părea o ceartă internă între roboți și hackeri, fără vreo legătură directă cu el. Concluziile practice sunt însă mai apropiate decât pare.
Cea mai importantă privește chiar aprobările pe care le dăm fără să stăm pe gânduri. Mecanismul care a doborât botul, permisiunile rămase deschise, este o sursă constantă de risc și pentru utilizatorii individuali. De fiecare dată când conectăm un portofel la o aplicație descentralizată și aprobăm cheltuirea unor tokeni, lăsăm o ușă întredeschisă. Dacă aplicația se dovedește răuvoitoare sau ajunge compromisă mai târziu, permisiunea poate fi întoarsă împotriva noastră.
Verificarea și revocarea periodică a aprobărilor active rămâne unul dintre cele mai utile obiceiuri de igienă digitală pe care le putem adopta, iar pentru asta există instrumente gratuite care arată exact ce contracte au acces la fondurile noastre.
Tot de aici pornește și o lecție despre automatizare. Tot mai multe servicii cripto promit randamente prin strategii care iau decizii fără intervenție umană. Cazul de față arată că viteza și automatizarea taie în două direcții. Un sistem care semnează aprobări în milisecunde, ghidat doar de semnale de profit, poate fi păcălit de oricine îi construiește un mediu fals suficient de credibil. Aceeași logică se aplică, la scară mult mai mică, și boturilor de trading pe care unii utilizatori le pun la treabă pe propriile conturi.
Există însă și o parte liniștitoare. Transparența blockchainului taie tot în ambele sensuri. Aceeași vizibilitate care le permite boturilor MEV să profite de tranzacțiile celorlalți le-a permis și cercetătorilor să reconstituie întreaga capcană pas cu pas, în doar câteva ore. Pe un sistem deschis, nimic nu rămâne ascuns prea mult timp, nici câștigul prădătorului, nici căderea lui.
Lecția pe care o lasă în urmă cea mai cunoscută capcană din istoria MEV
Povestea JaredFromSubway seamănă cu o pildă, una foarte modernă. Un sistem care a profitat ani la rând de neatenția altora a fost doborât prin propria lăcomie programată. Atacatorul nu a avut nevoie de forță brută, ci de înțelegerea unui adversar care, paradoxal, era previzibil tocmai pentru că era automat. Botul făcea mereu același lucru când mirosea profit, iar acel reflex constant s-a transformat în slăbiciunea lui fatală.
Dincolo de spectacolul momentului, cazul ridică întrebări serioase despre direcția în care se îndreaptă finanțele descentralizate. Pe măsură ce tot mai multe decizii sunt lăsate pe seama unor agenți automați care acționează la viteze imposibile pentru un om, suprafața de atac nu mai este doar codul, ci și logica de funcționare a acestor sisteme. Un contract poate fi auditat linie cu linie. Comportamentul unui bot pus în fața unui mediu construit special ca să-l înșele este mult mai greu de anticipat.
Rămâne deschisă întrebarea dacă lovitura va schimba ceva în practicile celor care construiesc astfel de sisteme sau dacă va fi catalogată drept un simplu ghinion, repede uitat. Istoria recentă îndeamnă la prudență. Lecția din 2023 nu a împiedicat căderea din 2026, iar logica de bază a MEV-ului rămâne la fel de tentantă și de profitabilă ca întotdeauna.
Cel mai probabil vânătoarea va continua, doar că de acum prădătorii au un motiv în plus să privească cu suspiciune fiecare oportunitate care pare prea ușoară ca să fie reală.
Intrebari Frecvente(FAQ)
Este unul dintre cele mai cunoscute și mai active boturi MEV de pe Ethereum, specializat în atacuri de tip sandwich. A fost legat de aproximativ 70 la sută din astfel de atacuri petrecute pe rețea între noiembrie 2024 și octombrie 2025 și a procesat, prin cele două iterații ale sale, în jur de 6,4 milioane de tranzacții. Numele este o aluzie la Jared Fogle, fostul purtător de imagine al lanțului Subway, fără ca firma de fast-food să aibă vreo legătură cu botul.
Pierderea totală a depășit 7,5 milioane de dolari. Atacatorul a extras aproximativ 1.474 de WETH, în valoare de circa 2,6 milioane de dolari, alături de 2,87 milioane de dolari în USDC și aproximativ 2 milioane de dolari în USDT.
Este o capcană concepută special pentru a păcăli un bot care vânează valoare extractabilă. Atacatorul construiește un mediu fals, cu tokeni și bazine de lichiditate false, care arată ca oportunități profitabile. Botul interacționează cu ele crezând că face arbitraj normal, însă în acest proces acordă permisiuni pe care atacatorul le folosește apoi pentru a-i goli contractele.
Vulnerabilitatea nu a fost în cod, ci în logica botului combinată cu modul în care funcționează aprobările ERC-20. Botul a acordat unor contracte controlate de atacator permisiunea de a-i cheltui tokenii. La rutele de probă, aprobările erau consumate imediat, dar la rutele otrăvite rămâneau deschise. Atacatorul a strâns destule astfel de permisiuni și apoi le-a folosit într-o singură tranzacție pentru a transfera fondurile reale.
Este o formă de MEV în care un bot observă o tranzacție mare aflată în așteptare, se așază în fața ei pentru a împinge prețul, lasă tranzacția victimei să se execute la un preț mai prost, apoi vinde imediat după pentru a încasa diferența. Practica costă traderii Ethereum aproximativ 60 de milioane de dolari pe an.
Analiști on-chain precum Specter și PeckShield au semnalat primii scurgerea de fonduri, iar firma de securitate Blockaid a confirmat și a analizat incidentul. Dezvoltatori din ecosistem, printre care Banteg de la Yearn, au documentat mecanismul în detaliu.
O parte semnificativă din fonduri a fost schimbată în ETH și trecută prin mixerul Tornado Cash, un instrument folosit pentru a îngreuna urmărirea fondurilor pe blockchain. Operatorul botului a trimis atacatorului un mesaj on-chain prin care cerea returnarea a aproximativ jumătate din sumă în 48 de ore, sub amenințarea acțiunilor legale.
Cea mai importantă lecție ține de aprobările acordate aplicațiilor descentralizate. Permisiunile rămase deschise sunt o sursă constantă de risc, motiv pentru care verificarea și revocarea periodică a aprobărilor active este un obicei util. În plus, cazul arată că orice sistem automat care semnează tranzacții bazându-se doar pe semnale de profit poate fi păcălit de un mediu fals suficient de convingător.
