Bot de MEV Jaredfromsubway.eth perde US$ 7,5 milhões em ataque direcionado

O ecossistema de finanças descentralizadas (DeFi) na Ethereum enfrenta um novo tipo de ameaça que vai além dos ataques tradicionais. O bot Jaredfromsubway.eth, uma das ferramentas mais lucrativas de maximal extractable value (MEV) do mercado, foi recentemente esvaziado em mais de US$ 7,5 milhões por um ataque sofisticado que explorou sua própria lógica automatizada. O incidente não apenas expôs a vulnerabilidade de sistemas projetados para lucrar com a ordem de transações, mas também revelou como os atacantes estão cada vez mais direcionando suas estratégias para explorar as brechas dos próprios robôs que dominam o espaço de MEV.

O ataque ocorreu no último sábado e foi identificado pela Blockaid, empresa especializada em segurança de contratos inteligentes. Segundo a análise, o problema não foi causado por um erro clássico de phishing nem por uma vulnerabilidade tradicional em contratos inteligentes. Em vez disso, os atacantes criaram uma armadilha que explorou a forma como o Jaredfromsubway.eth processava aprovações de tokens. Ao longo de várias semanas, os invasores implantaram 66 contratos falsos de tokens que imitavam Wrapped ETH (WETH), USDC e USDt, além de pools de liquidez fraudulentos. Esses contratos foram projetados para parecer oportunidades de lucro legítimas, atraindo o bot para aprovar gastos em nome do Jaredfromsubway.eth em contratos controlados pelos atacantes.

A estratégia usada pelos invasores é conhecida como "counter-MEV", um tipo de ataque que inverte a lógica dos bots de MEV contra eles mesmos. Enquanto os bots como o Jaredfromsubway.eth monitoram transações não confirmadas e manipulam sua ordem para extrair lucro, os atacantes criaram um cenário onde o próprio bot foi induzido a autorizar transações prejudiciais. Essa abordagem representa um avanço na sofisticação dos ataques no espaço DeFi, demonstrando que os invasores agora miram diretamente nas ferramentas que antes eram consideradas imbatíveis.

O que é MEV e por que o Jaredfromsubway.eth era tão poderoso

Maximal extractable value (MEV) refere-se ao lucro que pode ser obtido por mineradores ou validadores ao reordenar, incluir ou censurar transações em um bloco. No contexto da Ethereum, isso se tornou uma indústria lucrativa graças à popularidade do DeFi, onde pequenas diferenças de preço podem gerar grandes lucros. Bots como o Jaredfromsubway.eth operam monitorando o mempool — a fila de transações não confirmadas — e identificando oportunidades para executar estratégias como "ataques sanduíche".

Um ataque sanduíche ocorre quando um bot detecta uma grande ordem de compra ou venda e, antes que ela seja executada, insere suas próprias transações para influenciar o preço. Por exemplo, se um trader tenta comprar uma grande quantidade de um token, o bot compra antes, empurrando o preço para cima, e depois vende ao trader a um valor mais alto. Esse tipo de manipulação é extremamente rentável, mas também prejudicial aos usuários comuns do DeFi, que acabam pagando um "imposto invisível" por meio de slippage.

Entre novembro de 2024 e outubro de 2025, estima-se que tenham ocorrido entre 60 mil e 90 mil ataques sanduíche por mês na Ethereum, com cerca de 70% deles atribuídos ao Jaredfromsubway.eth. Isso significa que o bot era responsável por uma parcela significativa das perdas sofridas por traders no ecossistema. De acordo com pesquisas da Cointelegraph, esses ataques resultaram em prejuízos anuais de aproximadamente US$ 60 milhões para os usuários. A eficiência do Jaredfromsubway.eth em identificar e executar essas estratégias o tornou uma ferramenta indispensável para muitos operadores de MEV, mas também um alvo prioritário para atacantes.

Como o ataque foi executado: a engenharia por trás da armadilha

O sucesso do ataque contra o Jaredfromsubway.eth não teria sido possível sem uma engenharia cuidadosa por parte dos invasores. Segundo a Blockaid, os atacantes criaram 66 contratos falsos de tokens que imitavam nomes e interfaces de tokens populares como WETH, USDC e USDt. Além disso, eles estabeleceram pools de liquidez fraudulentos que pareciam oferecer oportunidades de arbitragem atraentes. Esses contratos foram projetados para parecer legítimos, enganando até mesmo sistemas automatizados avançados.

O ponto crucial do ataque foi a forma como o Jaredfromsubway.eth lidava com aprovações de tokens. Quando um bot de MEV identifica uma oportunidade de lucro, ele precisa aprovar gastos em nome do usuário ou do próprio bot para executar transações. Os atacantes exploraram essa lógica, criando contratos que pareciam inofensivos ou até mesmo lucrativos. Ao interagir com esses contratos, o Jaredfromsubway.eth foi induzido a aprovar gastos em contratos controlados pelos invasores. Uma vez que essas aprovações foram concedidas, os atacantes puderam drenar os fundos do bot sem que ele pudesse impedi-los.

Raz Niv, diretor de tecnologia da Blockaid, descreveu o ataque como um "honeypot de counter-MEV", onde os invasores exploraram a confiança minimizada e a lógica automatizada do bot. Em vez de atacar diretamente o contrato do Jaredfromsubway.eth, eles criaram um ambiente onde o próprio sistema de tomada de decisão do bot se tornou sua vulnerabilidade. Essa abordagem destaca um novo vetor de ameaça no espaço DeFi, onde os invasores não precisam mais explorar falhas óbvias, mas sim manipular a lógica operacional dos sistemas automatizados.

Implicações para o ecossistema de MEV e DeFi

O ataque contra o Jaredfromsubway.eth tem implicações significativas para todo o ecossistema de MEV e DeFi. Primeiro, ele demonstra que os bots de MEV, embora extremamente lucrativos, também são alvos atraentes para ataques direcionados. A dependência de lógica automatizada e aprovações de tokens pode ser explorada por invasores que entendem como esses sistemas funcionam. Isso levanta questões sobre a segurança dos atuais modelos de MEV e se eles precisam ser revisados para incorporar salvaguardas adicionais.

Segundo, o incidente reforça a necessidade de maior transparência e auditoria nos contratos e estratégias usados pelos bots de MEV. Muitos desses sistemas operam de forma opaca, com pouca supervisão externa. O ataque mostra que, mesmo sistemas altamente otimizados podem ser comprometidos se não houver verificações adequadas. Isso pode levar a uma maior demanda por auditorias independentes e pela adoção de padrões de segurança mais rigorosos no desenvolvimento de bots de MEV.

Por fim, o ataque destaca o impacto negativo dos ataques sanduíche e de MEV em geral sobre os usuários comuns do DeFi. Embora o Jaredfromsubway.eth tenha sido uma vítima, ele também foi um perpetrador de prejuízos significativos para traders. A perda de US$ 7,5 milhões do bot pode ser vista como uma pequena vitória para os usuários, mas não resolve o problema subjacente de manipulação de mercado. Isso reforça a importância de soluções como Propostas de Melhoria da Ethereum (EIPs) que visam reduzir o MEV prejudicial, como a inclusão de transações em blocos de forma mais justa ou o uso de mecanismos de proteção contra slippage.

O futuro do MEV: entre lucro e risco

O ataque contra o Jaredfromsubway.eth marca um ponto de virada no espaço de MEV. Até agora, os bots como esse eram vistos como máquinas quase infalíveis de geração de lucro, capazes de explorar ineficiências no mercado com precisão cirúrgica. No entanto, o incidente mostra que eles também são vulneráveis a ataques sofisticados que exploram suas próprias mecânicas. Isso pode levar a uma mudança na forma como os operadores de MEV abordam a segurança e a gestão de riscos.

Uma possível consequência é o aumento do uso de técnicas de "defensive MEV", onde os bots não apenas buscam lucrar com a manipulação de transações, mas também protegem a si mesmos e aos usuários contra ataques. Por exemplo, bots poderiam implementar sistemas de monitoramento em tempo real para detectar comportamentos suspeitos ou limitar o escopo de aprovações de tokens. Além disso, a colaboração entre operadores de MEV e empresas de segurança poderia levar ao desenvolvimento de padrões compartilhados para mitigar riscos.

Outra tendência que pode surgir é a regulamentação ou auto-regulamentação do espaço de MEV. Embora o DeFi seja conhecido por sua natureza descentralizada e resistente à censura, a concentração de poder em mãos de poucos bots levanta questões sobre equidade e transparência. Se os prejuízos causados por ataques como esse continuarem a aumentar, pode haver pressão por parte da comunidade ou até mesmo de reguladores para impor limites ou requisitos de divulgação sobre as operações de MEV.

Lições para desenvolvedores e usuários de DeFi

Para desenvolvedores de bots de MEV, o ataque contra o Jaredfromsubway.eth serve como um alerta importante. A confiança em lógica automatizada e aprovações de tokens deve ser acompanhada de verificações rigorosas e testes de segurança. Contratos falsos e pools de liquidez fraudulentos podem ser criados com relativa facilidade, e sistemas automatizados precisam ser capazes de distingui-los de oportunidades legítimas. A adoção de ferramentas de análise de contratos inteligentes em tempo real e a implementação de limites de aprovação mais restritivos podem ajudar a mitigar riscos semelhantes no futuro.

Para usuários de DeFi, o incidente reforça a importância de entender os riscos associados ao uso de plataformas descentralizadas. Embora os ataques sanduíche e o MEV sejam problemas sistêmicos, os usuários podem tomar medidas para reduzir seu impacto. Uma estratégia é usar exchanges descentralizadas (DEXs) que implementam mecanismos de proteção contra slippage ou que oferecem opções para ocultar ordens no mempool. Além disso, ferramentas de análise de transações podem ajudar a identificar quando um ataque sanduíche está em andamento, permitindo que os usuários cancelem ou ajustem suas ordens.

Para a comunidade DeFi como um todo, o ataque é um lembrete de que a inovação tecnológica nem sempre acompanha a segurança. À medida que o espaço evolui, é crucial que a segurança seja uma prioridade, não uma reflexão tardia. Isso inclui não apenas a auditoria de contratos e a implementação de melhores práticas, mas também a educação dos usuários sobre os riscos envolvidos. A transparência e a colaboração entre desenvolvedores, operadores de MEV e empresas de segurança serão essenciais para construir um ecossistema mais resiliente.

O que vem pela frente: monitoramento e inovação em segurança

Nos próximos meses, espera-se que o espaço de MEV testemunhe um aumento no desenvolvimento de ferramentas de segurança projetadas especificamente para proteger bots e usuários contra ataques direcionados. Empresas como a Blockaid, que identificou o ataque contra o Jaredfromsubway.eth, estão na vanguarda dessa tendência, oferecendo soluções que analisam contratos e transações em tempo real para detectar comportamentos suspeitos. A integração dessas ferramentas nos fluxos de trabalho de operadores de MEV pode se tornar um padrão do setor.

Além disso, a comunidade Ethereum está constantemente trabalhando em melhorias para reduzir o impacto negativo do MEV. Propostas como a "Fair Ordering" (ordenação justa) e a implementação de mecanismos de proteção contra ataques sanduíche estão em discussão. Essas inovações visam tornar o ecossistema mais justo para os usuários, reduzindo a capacidade de bots de manipular transações. À medida que essas soluções amadurecem, elas podem ajudar a equilibrar a lucratividade do MEV com a proteção dos usuários.

Por fim, o ataque contra o Jaredfromsubway.eth serve como um estudo de caso valioso para a indústria. Ele demonstra que, mesmo no mundo das finanças descentralizadas, onde a descentralização é um princípio fundamental, a centralização de poder em torno de poucos atores pode criar vulnerabilidades. À medida que o espaço de MEV continua a evoluir, será essencial que desenvolvedores, operadores e usuários trabalhem juntos para construir sistemas mais seguros, transparentes e resilientes. Somente assim o DeFi poderá cumprir sua promessa de um sistema financeiro aberto e justo para todos.