Um dos bots comerciais mais notórios do Ethereum acaba de ser derrotado em seu próprio jogo. Jaredfromsubway.eth, um bot de negociação de criptografia há muito associado às negociações de DeFi na rede e um nome que faz referência ao desgraçado ex-porta-voz do Subway, Jared Fogle, foi atraído para uma armadilha e drenado de cerca de US$ 7,5 milhões em criptografia.
No Ethereum e em redes criptográficas semelhantes, MEV significa valor extraível máximo (originalmente conhecido como valor extraível do minerador). Em termos simples, refere-se ao lucro extra que pode ser obtido controlando como as transações são ordenadas dentro de um bloco em uma blockchain específica. Basicamente, quem monta um bloco em uma rede criptografada fica em uma posição privilegiada e pode lucrar ao ver as transações dos usuários antes de serem finalizadas. Isso é mais relevante para redes criptográficas onde vivem aplicativos de finanças descentralizadas (DeFi), como Ethereum.
O conceito fica muito mais fácil de entender quando você chega aos ataques sanduíche, que são a especialidade de Jaredfromsubway. Em um ataque sanduíche, um bot identifica uma negociação pendente no mempool da rede criptográfica, salta na frente dela com sua própria ordem de compra, deixa a negociação da vítima aumentar o preço e vende imediatamente depois. O usuário obtém um preço de execução pior, enquanto o bot lucra com o impacto do preço da vítima e com a pior execução permitida pelo usuário. derrapagem configurações.
Jaredfromsubway tornou-se famoso porque industrializou esse processo. O bot tem sido amplamente citado como um dos atacantes sanduíche mais prolíficos no Ethereum, e um relatório anterior da Cointelegraph Research vinculou o bot a cerca de 70% dos ataques sanduíche na rede de novembro de 2024 a outubro de 2025. Para usuários comuns de DeFi, isso tornou Jaredfromsubway menos um meme e mais um cobrador de impostos recorrente incorporado na estrutura de negociação. Protos destacados recentemente quão oportunista Jaredfromsubway pode ser quando relatou que o bot até mesmo sanduíche atacou uma negociação feita pelo criador do Ethereum, Vitalik Buterin.
Como Jaredfromsubway foi enganado
Essa reputação foi o que tornou o incidente recente tão impressionante. Em vez de explorar um bug de contrato inteligente ou roubar uma chave privada, o invasor parece ter como alvo a lógica operacional de Jaredfromsubway. Os relatórios sobre o incidente o descreveram como uma espécie de honeypot contra-MEV. De acordo com um tópico X postado pela plataforma de segurança criptográfica Blockaida configuração envolveu dezenas de tokens ERC-20 falsos, alguns projetados para imitar ativos familiares como WETH, USDC e USDT, juntamente com pools de liquidez falsos que faziam os contratos parecerem oportunidades lucrativas para um sistema de negociação automatizado (Nota: os leitores não devem presumir que a conta Jaredfromsubway marcada no tópico do Blockaid é operada pela entidade real por trás do bot).
🚨Alerta da comunidade:
O sistema Blockaid Exploit Detection detectou uma exploração envolvendo o @jaredsmev Bot MEV no Ethereum.
O incidente resultou de contratos controlados por invasores que enganaram um sistema automatizado de execução de MEV para conceder aprovações de tokens, posteriormente usadas para drenar fundos.…-Blockaid (@blockaid_) 20 de junho de 2026
O objetivo não era enganar um comerciante humano para que clicasse em um link malicioso. Era para atrair um bot como Jaredfromsubway a fazer o que sempre faz.
O invasor implantou 66 contratos de tokens falsificados durante um período de semanas e os estruturou para se assemelharem a oportunidades lucrativas de MEV, diz o relato do incidente da Blockaid. Para interagir com essas rotas, o sistema de Jaredfromsubway aprovou contratos de ajudantes controlados pelo invasor para gastar tokens em seu nome. A princípio, essas aprovações pareciam inofensivas porque as profissões associadas utilizaram imediatamente as licenças. Mais tarde, porém, o invasor introduziu rotas que deixaram algumas das permissões não utilizadas, dando aos contratos controlados pelo invasor permissão permanente para mover os tokens do bot. Depois que um número suficiente dessas permissões foi acumulado, o invasor varreu WETH, USDC e USDT genuínos de endereços controlados pela operação MEV.
O valor total foi estimado em cerca de US$ 7,5 milhões, e a entidade que armou a armadilha, desde então, enviou alguns desses fundos para o misturador de criptografia baseado em Ethereum, Tornado Cash, de acordo com CoinDesk.
Questões mais amplas do DeFi
Jaredfromsubway é um exemplo vívido de um problema mais amplo com atividades financeiras em blockchains transparentes. Se as transações pendentes estiverem visíveis antes de serem liquidadas, então os atores com acesso privilegiado à produção de blocos poderão explorar essa visibilidade. Mesmo nas finanças tradicionais, front-running é um palavrão. No DeFi, versões do mesmo tipo de comportamento têm sido frequentemente tratadas como um modelo de negócios ou como um efeito colateral inevitável de sistemas abertos.
É claro que os investigadores e os fornecedores de infra-estruturas também estão a desenvolver formas de limitar as formas mais prejudiciais de MEV, incluindo o encaminhamento de transacções privadas, mempools encriptados e mecanismos destinados a tornar a ordenação de transacções mais justa ou menos susceptível à manipulação.
E mesmo deixando de lado o MEV, o histórico de segurança do setor DeFi pareceu muito mais instável ao longo do último ano. Em abril, analistas do JPMorgan disse vulnerabilidades de segurança persistentes continuam a limitar o apelo institucional do DeFi. Notavelmente, abril foi o pior mês já registrado para hacks de protocolos criptográficos pelo grande número de incidentes, com 29 hacks rastreados em um único mês e US$ 651 milhões em perdas registradas.
Manuel Aráoz, cofundador da OpenZeppelin e um dos primeiros nomes proeminentes na auditoria de contratos inteligentes, disse recentemente que agora considera todo o DeFi inseguro e aconselhou amigos e familiares a abandonarem seus cargos. Seu argumento era que a IA está piorando o desequilíbrio entre atacante e defensor, à medida que os agentes de codificação estão se tornando “sobre-humanos na descoberta de vulnerabilidades”, enquanto os defensores ainda estão se adaptando a esse novo paradigma. No entanto, a vulnerabilidade recente encontrada no Zcash (ZEC) que teria permitido a um invasor imprimir efetivamente o ZEC do nada foi supostamente descoberta através do uso proativo e defensivo do Claude Opus 4.8 da Antrópico. OpenZeppelin também se distanciou da avaliação de Aráoz, dizendo que a ameaça é real, mas argumentando que o trabalho de segurança contínuo e aumentado por IA é a resposta apropriada, em vez de abandonar o DeFi.
