Der bekannte Ethereum-MEV-Bot Jaredfromsubway.eth hat mehr als 7,5 Millionen US-Dollar verloren. Nach Angaben des Security-Unternehmens Blockaid handelte es sich nicht um einen klassischen Exploit und auch nicht um einen Diebstahl privater Schlüssel. Stattdessen nutzte ein Angreifer ein sogenanntes Allowance-Drain-Schema: Der Bot autorisierte automatisiert Verträge, die anschließend ungenutzte Token-Berechtigungen ausnutzten und reale Vermögenswerte aus mit dem Betrieb verbundenen Smart Contracts abzogen.
Onchain-Daten zeigen wiederholte Transfers von rund 92 WETH, 143.000 USDC und 149.000 USDT von einem Vertrag an eine vom Angreifer kontrollierte Adresse. Ein Teil der Erlöse wurde später über Tornado Cash weitergeleitet.
Wie der Angriff den Bot zur „eigenen“ Freigabe brachte
Im Zentrum des Vorfalls stehen ERC-20-Approvals. Diese Freigaben erlauben es einer anderen Adresse oder einem Smart Contract, bis zu einem festgelegten Betrag Token eines Kontos zu bewegen. Entscheidend: Solche Berechtigungen bleiben bestehen, wenn sie nicht vollständig verbraucht, reduziert oder widerrufen werden.
Blockaid zufolge zielte der Angreifer nicht auf eine Schwachstelle in einem verbreiteten DeFi-Protokoll, sondern auf die Regeln, nach denen der Bot potenzielle Gewinne erkennt und Handelsrouten verfolgt. Über mehrere Wochen baute der Angreifer dafür ein Geflecht aus Nachahmungstoken, Liquiditätspools und unterstützenden Verträgen auf, die Märkte imitierten, gegen die der Bot üblicherweise handelt. Zu den gefälschten Assets gehörten Varianten von Wrapped Ethereum sowie von USDC und USDT.
Erst „normale“ Trades, dann ungenutzte Approvals
Dem Bericht zufolge erkannte Jaredfromsubway.eth diese Dinge an und gab wie in solchen Setups üblich Hilfsverträgen die Erlaubnis, Token im Rahmen erwarteter Trades zu bewegen. Einige frühe Transaktionen nutzten die Berechtigungen noch wie vorgesehen. Später wurden die genehmigten Zugriffe jedoch nicht mehr „verbraucht“ und blieben damit offen.
Genau diese ungenutzten Approvals verwendeten die Angreifer-Verträge anschließend, um über die ERC-20-Funktion transferFrom echte Bestände an WETH, USDC und USDT aus den Konten des Bots zu verschieben. Banteg, Entwickler bei Yearn Finance, ordnete den Vorgang entsprechend als Allowance-Drain ein und nicht als typischen Token-Swap.
Warum der Fall für automatisierte Trader besonders heikel ist
Blockaid beschreibt den Vorfall als Beispiel dafür, wie anfällig automatisierte Handelssysteme sein können, wenn sie Märkte bewerten, Verträge autorisieren und Transaktionen innerhalb von Sekunden ausführen müssen.
Jaredfromsubway.eth ist seit 2023 aktiv und gehörte zu den bekanntesten Teilnehmern im Ethereum-Markt für maximal extractable value (MEV). Der Bot wurde vor allem mit Sandwich-Angriffen in Verbindung gebracht, bei denen Bots einen erwarteten Trade vorab kaufen, den Preis nach oben ziehen, die Nutzertransaktion zu schlechteren Konditionen ausführen lassen und anschließend teurer verkaufen. Berichten zufolge verursachten solche Angriffe jährliche Kosten von geschätzt 60 Millionen US-Dollar für Trader; etwa 70 Prozent davon wurden mit einem einzelnen Betreiber namens Jaredfromsubway.eth in Verbindung gebracht.
Der Angriff zeigt, wie schnell automatisierte Strategien zur Zielscheibe werden, wenn Approvals dauerhaft offen bleiben – ähnlich abrupt, wie es bei einem Bitcoin-Crash mit 272 Mio. an einem Tag liquidiert zu plötzlichen Marktverwerfungen kommen kann.
