L'ennemi public du monde des cryptomonnaies contre-attaque ! Le plus grand robot de sandwich d'Ethereum attaqué par une arnaque à la tarte, 7,5 millions de dollars perdus en une nuit

Le célèbre robot de trading Ethereum « jaredfromsubway.eth » a récemment été piégé par un hacker, subissant une perte allant jusqu’à 7,5 millions de dollars. Le hacker a utilisé un contrat de token frauduleux pour inciter le robot à autoriser automatiquement, puis a exploité une permission permanente non désactivée pour dévaliser les fonds.

Le « vampire » le plus redoutable, connu pour récolter les petits investisseurs sur le marché des cryptomonnaies et faire frissonner les joueurs d’Ethereum, a enfin été mis en difficulté. Récemment, le robot de trading le plus infâme sur Ethereum, « jaredfromsubway.eth », a été ciblé par un hacker, avec une perte de 7,5 millions de dollars. Ironiquement, ce hacker n’a pas exploité une faille technique complexe, mais a plutôt utilisé la logique d’automatisation du robot contre lui, en tendant un piège parfait, puis en le piégeant.

L’ennemi public du monde crypto : comment une « attaque sandwich » peut-elle exploiter les petits investisseurs ?

« jaredfromsubway.eth » est connu depuis longtemps pour lancer des attaques sandwich (Sandwich Attack), une méthode d’arbitrage courante dans le domaine du « maximum extractable value » (MEV, qui désigne le profit supplémentaire obtenu par les mineurs ou validateurs en réordonnant les transactions). Concrètement, un programme automatisé se cache sur la blockchain, et dès qu’il repère une transaction non confirmée d’une victime, il l’achète en avance, forçant la transaction à un prix moins favorable, puis revend immédiatement, plaçant la transaction de la victime comme une « tranche de sandwich » au milieu, tout en prélevant une « taxe invisible ». Avec le temps, ces petites marges s’accumulent pour générer des profits considérables.

Techniquement, l’attaque sandwich n’est pas une forme de piratage, mais dans la communauté crypto, elle est généralement considérée comme une « prédation », non seulement en extrayant de la valeur des utilisateurs, mais aussi en faisant grimper les frais de transaction sur la blockchain, ce qui nuit au développement de l’écosystème.

Le hacker a minutieusement planifié pendant plusieurs semaines, visant le « cerveau » du robot pour le retourner contre lui

La société de sécurité blockchain Blockaid indique que l’incident survenu samedi dernier n’est ni une simple arnaque par phishing, ni une faille de contrat, mais que le hacker a directement ciblé le « cerveau » du robot — c’est-à-dire son système de prise de décision.

Selon l’enquête, le hacker a passé plusieurs semaines à préparer cette arnaque, déployant sur une plateforme d’échange décentralisée (DEX) des dizaines de contrats de tokens frauduleux et de pools de liquidité falsifiés, déguisés en opportunités de trading lucratives. Certains de ces faux tokens imitaient même des cryptomonnaies courantes, comme l’ETH (WETH) ou des stablecoins comme USDC et USDT.

Finalement, ces leurres ont porté leurs fruits. Lorsque « jaredfromsubway.eth » a scanné le marché comme d’habitude, pensant repérer une nouvelle opportunité de MEV, il a automatiquement généré une « autorisation de token » permettant au contrat auxiliaire contrôlé par le hacker d’utiliser ses fonds. Lors des premiers tests, ces autorisations étaient immédiatement consommées après la transaction ; mais par la suite, le hacker a modifié le chemin de la transaction pour maintenir ces autorisations en « état ouvert ».

Cela a permis au hacker d’obtenir une « permission permanente » pour retirer des fonds à volonté, utilisant ces autorisations non révoquées pour dévaliser le contrat du robot de trading, notamment en volant du WETH, USDC et USDT, pour un total dépassant 7,5 millions de dollars. Les données on-chain montrent que certains des fonds volés ont été transférés vers le mixeur Tornado Cash pour blanchiment.

Une cupidité si extrême qu’elle a même attiré « V神 » (Vitalik Buterin), qui a fini par devenir une victime

Cet incident de « contre-attaque du hacker contre le robot » est chargé d’ironie dans la communauté crypto.

Depuis longtemps, « jaredfromsubway.eth » est considéré comme le principal représentant de l’« MEV malveillant » sur Ethereum. Les données indiquent que ces attaques sandwich coûtent chaque année environ 60 millions de dollars aux traders d’Ethereum. Entre novembre 2024 et octobre 2025, sur 60 000 à 90 000 attaques mensuelles, jusqu’à 70 % seraient attribuées à « jaredfromsubway.eth ».

En mai de cette année, ce robot n’a pas hésité à intercepter une petite transaction de Vitalik Buterin, co-fondateur d’Ethereum. Il a dépensé 1,14 million de dollars pour devancer la transaction de V神, et après avoir payé des frais élevés, n’a gagné qu’un maigre profit de 4 dollars.

Bien que cet incident ne réduise pas réellement le danger à long terme que représentent les attaques sandwich pour l’écosystème crypto, il sonne comme un avertissement retentissant : ces systèmes automatisés qui se basent uniquement sur la reconnaissance de modèles et de signaux de profit, et qui approuvent les transactions en millisecondes, comportent un risque énorme d’être exploités à l’envers.

• Cet article est reproduit avec autorisation de : « Blockcast »
• Titre original : « La revanche arrive ? Le plus grand robot d’attaque sandwich sur Ethereum piégé, le hacker contre-attaque et dévalise 7,5 millions de dollars »
• Auteur original : Mel, la sœur de Block