Musuh publik di dunia koin dibalas dengan serangan balik! Mesin sandwich terbesar di Ethereum diserang oleh perangkap madu, kehilangan 7,5 juta dolar dalam semalam

Ethereum terkenal sebagai robot perdagangan "jaredfromsubway.eth" baru-baru ini diserang oleh peretas yang mengatur jebakan, dengan kerugian mencapai 7,5 juta dolar AS. Peretas menggunakan kontrak token palsu untuk memikat robot agar memberikan otorisasi otomatis, kemudian memanfaatkan izin permanen yang tidak ditutup untuk mencuri dana.

Selama bertahun-tahun, pasar mata uang kripto telah menuai keuntungan dari para investor ritel, dan pemain Ethereum pun menjadi sangat waspada terhadap "vampir" terkuat ini. Baru-baru ini, robot perdagangan paling terkenal di Ethereum, "jaredfromsubway.eth", menjadi target peretas, dengan kerugian mencapai 7,5 juta dolar AS. Ironisnya, peretas ini tidak memanfaatkan celah teknologi yang rumit, melainkan membalas dendam dengan menggunakan logika perdagangan otomatis robot itu sendiri, menyiapkan jebakan sempurna, lalu membuat robot masuk ke dalamnya.

Musuh bersama di dunia kripto: "Serangan Sandwich" bagaimana menguras investor ritel?

"jaredfromsubway.eth" terkenal karena melakukan serangan sandwich (Sandwich Attack) dalam jangka panjang, yang merupakan salah satu metode arbitrase umum untuk "nilai maksimum yang dapat diambil" (MEV, yaitu keuntungan tambahan yang diperoleh oleh penambang atau validator melalui pengurutan ulang transaksi). Secara spesifik, program otomatis akan bersembunyi di jaringan, dan begitu melihat transaksi yang belum dikonfirmasi dari korban, akan membelinya terlebih dahulu, memaksa transaksi korban dilakukan dengan harga yang lebih buruk, kemudian segera menjualnya kembali, memposisikan transaksi korban seperti roti dalam sandwich, lalu memaksakan pengenaan "pajak tersembunyi". Dengan akumulasi kecil, keuntungan yang diperoleh cukup mencengangkan.

Secara ketat, serangan sandwich bukan termasuk pencurian oleh peretas, tetapi di komunitas kripto secara umum dianggap sebagai bentuk "perampokan", yang tidak hanya memeras nilai dari pengguna, tetapi juga menyebabkan biaya transaksi di jaringan melonjak, yang sama sekali tidak bermanfaat bagi perkembangan ekosistem.

Peretas merencanakan dengan matang selama berminggu-minggu, menargetkan "otak" robot dan membalik keadaan

Perusahaan keamanan blockchain Blockaid menunjukkan bahwa kejadian yang terjadi Sabtu lalu bukanlah phishing biasa, juga bukan celah kontrak sederhana. Peretas langsung menargetkan "otak" robot ini—yaitu sistem pengambilan keputusannya.

Menurut penyelidikan, peretas menghabiskan beberapa minggu dengan sabar menyiapkan jebakan ini, dengan mengdeploy puluhan kontrak token palsu dan kolam likuiditas palsu di decentralized exchange (DEX), dan menyamarkannya sebagai peluang perdagangan yang menguntungkan. Beberapa token palsu bahkan sengaja disamarkan sebagai mata uang kripto umum di pasar, seperti WETH dan stablecoin dolar AS USDC serta USDT.

Akhirnya, umpan-umpan ini berhasil. Ketika "jaredfromsubway.eth" seperti biasa memindai pasar dan mengira menemukan peluang MEV yang menguntungkan, secara otomatis menghasilkan "otorisasi token" sesuai logika yang sudah ditetapkan, yang memungkinkan kontrak pendukung yang dikendalikan peretas untuk menggunakan dana tersebut. Pada tahap awal pengujian, otorisasi ini akan langsung hilang setelah transaksi selesai; tetapi kemudian, peretas mengubah jalur transaksi sehingga status otorisasi ini tetap "aktif".

Ini memberi peretas izin permanen untuk menarik dana tanpa batas, dan mereka segera memanfaatkan otorisasi yang tidak ditutup ini untuk mencuri WETH, USDC, dan USDT dari kontrak robot, dengan total lebih dari 7,5 juta dolar AS. Data di blockchain menunjukkan bahwa sebagian aset yang dicuri telah dipindahkan ke Tornado Cash untuk pencucian uang.

Sikap serakah sampai "V God" pun berani ikut-ikutan, akhirnya menjadi mangsa orang lain

Kejadian "pembalasan peretas terhadap robot" ini penuh dengan ironi di komunitas kripto.

Selama bertahun-tahun, "jaredfromsubway.eth" telah menjadi simbol utama dari "MEV jahat" di Ethereum. Data menunjukkan bahwa hanya serangan sandwich ini menyebabkan kerugian sekitar 60 juta dolar AS setiap tahun bagi para trader Ethereum. Dari November 2024 hingga Oktober 2025, dari 60.000 hingga 90.000 serangan per bulan di Ethereum, sekitar 70% diduga dilakukan oleh "jaredfromsubway.eth".

Pada Mei tahun ini, robot ini bahkan tidak melewatkan transaksi kecil dari salah satu pendiri Ethereum, Vitalik Buterin. Saat itu, robot ini menghabiskan 1,14 juta dolar AS untuk merebut transaksi V God, dan setelah biaya tinggi, hanya mendapatkan keuntungan kecil sebesar 4 dolar AS.

Meskipun kejadian ini tidak secara langsung mengurangi bahaya jangka panjang dari serangan sandwich terhadap ekosistem kripto, kejadian ini memberi peringatan keras kepada pasar: sistem algoritma yang hanya mengandalkan pola pengenalan dan sinyal keuntungan, serta otomatisasi transaksi dalam milidetik, menyimpan risiko besar terhadap penyalahgunaan balik.