JaredFromSubway—salah satu bot MEV paling dikenal di Ethereum—tertangkap dalam eksploitasi tak biasa yang menguras sekitar $7,5 juta dalam bentuk WETH, USDC, dan USDT. Perusahaan keamanan blockchain Blockaid mendetailkan insiden tersebut dalam laporan keamanan yang diliput oleh WuBlockchain, menggambarkannya sebagai serangan baru terhadap logika pengambilan keputusan bot tersebut, bukan sebagai kerentanan kontrak pintar tradisional. Kerugian ini mengubah cara infrastruktur perdagangan otomatis di Ethereum perlu mempertahankan dirinya.
Penyerang mendeploy kontrak yang menipu sistem otomatis JaredFromSubway agar memberikan persetujuan token. Setelah izin tersebut diberikan, penyerang mengambil alih saldo WETH, USDC, dan USDT bot tersebut. Tidak ada serangan phishing dan tidak ada kelemahan pada kontrak pintar yang telah dideploy. Blockaid menjelaskan bahwa insiden ini memanfaatkan "mekanisme deteksi peluang MEV otomatis dan persetujuan bot," sebuah kategori risiko yang telah menerima perhatian jauh lebih sedikit dibandingkan audit kode.
Perbedaan itu sangat penting. Logika bot itu sendiri—bagian yang mengevaluasi transaksi yang tertunda dan memutuskan apakah akan frontrun, backrun, atau sandwich sebuah perdagangan—membuat serangkaian keputusan yang memberikan peluang kepada penyerang. Karena persetujuan diberikan di dalam alur kerja normal bot, perlindungan standar yang digunakan dompet dan protokol melawan pengguna manusia sama sekali tidak berlaku. JaredFromSubway telah berjalan dengan sukses selama bertahun-tahun di ethereum, di mana MEV telah menjadi bisnis yang spesialis dan sangat kompetitif. Jaringan ini tetap menjadi rantai dominan untuk DeFi, seperti yang dikonfirmasi oleh data terbaru tentang aktivitas pengembang di berbagai blockchain teratas, yang berarti bot seperti ini menangani volume nilai yang sangat besar setiap hari.
Sebuah Eksploit Logika, Bukan Eksploit Kode
Mekanisme trik ini sederhana. Penyerang merancang rangkaian transaksi yang tampak seperti peluang MEV yang menguntungkan bagi sensor bot. Ketika bot masuk, ia diprogram untuk menetapkan izin untuk token yang perlu diinteraksikan—pola normal yang mengurangi biaya gas selama operasi berulang. Tetapi kali ini, izin tersebut ditetapkan untuk kontrak yang dikendalikan penyerang yang kemudian menarik aset tersebut. Pencurian itu berlangsung secara diam-diam melalui beberapa operasi, bukan dalam satu serangan flash loan atau reentrancy.
Yang membuat kasus ini berbeda adalah tidak adanya sesuatu yang menyerupai bug. Kode bot bekerja persis seperti yang dirancang. Bot tersebut hanya tidak dapat membedakan antara interaksi DeFi asli dan yang palsu yang dirancang untuk mengeksploitasi perilaku persetujuannya. Bagi operator bot, itu adalah masalah yang jauh lebih sulit diperbaiki daripada patch kode biasa. Ini memerlukan perancangan ulang cara sistem otomatis mensimulasikan transaksi, menilai risiko mitra transaksi, dan mengelola persetujuan token secara real time.
Di Mana Bot MEV Berada Setelah Kerugian
JaredFromSubway telah menjadi bagian tetap dari Ethereum MEV selama bertahun-tahun, sehingga kerugian sebesar $7,5 juta bukanlah ancaman eksistensial bagi operatornya. Namun, hal ini menunjukkan target besar pada setiap bot yang menjalankan strategi otomatis tanpa simulasi mendalam terhadap kontrak yang berinteraksi dengannya. Bot pesaing kini mungkin menghadapi serangan tiruan. Pasar MEV sudah sangat keras: bot bersaing dalam kecepatan, inklusi bundle, dan hubungan dengan builder. Jika operator juga perlu khawatir tentang manipulasi logis di lapisan persetujuan, biaya menjalankan bot yang aman meningkat tajam.
Insiden ini juga menyoroti kesenjangan dalam rantai pasokan MEV Ethereum. Pembangun blok dan relay melihat rangkaian transaksi, tetapi jarang memvalidasi apakah niat urutan bot dapat dimanfaatkan di hulu. Kecuali komunitas mengembangkan middleware yang menandai pola persetujuan mencurigakan sebelum mencapai eksekusi, bot tetap sebagian besar sendirian. Dan dengan peta jalan pengembangan Ethereum yang sangat berfokus pada daftar inklusi dan ketahanan terhadap sensor, alat-alat yang melindungi bot dari eksploitasi logis belum menjadi prioritas.
Apa yang Masih Tidak Jelas
Blockaid belum merilis diagram on-chain penuh mengenai alur serangan, sehingga urutan transaksi yang tepat dan bagaimana pemeriksaan persetujuan bot dilewati masih sedang dipelajari. Juga belum diketahui apakah penyerang menargetkan JaredFromSubway secara khusus atau hanya memasang jebakan yang menangkap bot apa pun yang memindai mempool. Jika metode ini dapat digeneralisasi, hal itu bisa menjadi eksploitasi berulang terhadap seluruh kelas bot MEV di ethereum dan bahkan di jaringan layer-2 di mana arsitektur bot serupa ada.
Untuk para trader dan pengguna DeFi, eksposur langsungnya minimal. Aset-aset tersebut milik operator bot, bukan pengguna akhir. Namun, ketika sebuah bot besar kehilangan likuiditas secara tiba-tiba, ia dapat menarik diri dari pasar, melebarkan spread dan mengurangi kualitas eksekusi pada pasangan tertentu. Efek ini mungkin sementara, tetapi menunjukkan seberapa besar likuiditas DeFi Ethereum bergantung pada sejumlah kecil pemain otomatis yang beroperasi dengan pertahanan tipis terhadap ancaman yang sangat spesifik.