Hunter becomes the hunted: the most profitable MEV Bot got hacked

原创 | Odaily 星球日报（@OdailyChina）

作者｜Azuma（@azuma_eth）

이더리움 네트워크에서 오랫동안 활발히 활동해온 유명 MEV 봇 주소 Jaredfromsubway.eth가 토요일 극도로 정교한 온체인 공격을 받아 750만 달러 이상의 손실을 입었습니다.

Blockaid 및 여러 온체인 분석 기관의 조사에 따르면, 이번 사건은 전통적인 피싱 공격이나 스마트 계약 취약점 공격이 아니라 MEV 봇의 행동 로직을 특별히 겨냥한 "반(反) MEV 허니팟 공격(counter-MEV honeypot attack)"으로 밝혀졌습니다.

공격자는 이전 몇 주 동안 조직적으로 66개의 가짜 토큰 계약과 유동성 풀을 배포했습니다. 이러한 자산은 온체인에서 WETH, USDC, USDT 등 주요 안정 자산으로 정교하게 위장되었고, 실제처럼 보이는 차익 거래 경로가 구축되었습니다.

이 과정에서 공격 체인이 단계적으로 전개되었습니다. 가짜 유동성 풀은 "차익 거래 가능한 가격 차이" 신호를 생성했고, MEV 봇이 이를 자동으로 감지하여 거래를 실행했습니다. 봇은 거래 과정에서 공격자가 제어하는 보조 계약에 대한 승인을 수행했으며, 이 승인은 즉시 취소되지 않아 지속적인 권한 노출 상태가 되었습니다. 결국 공격자는 단일 거래에서 미리 심어둔 백도어 로직을 호출하여 해당 MEV 봇 주소가 보유한 ETH, USDC, USDT 등 자산을 직접 이전했습니다.

온체인 데이터에 따르면, 이번 Jaredfromsubway.eth 도난 자산 총액은 750만 달러를 초과하며, 공격자는 이후 자산 일부를 분할 및 이전하고 믹싱 도구를 통해 자금 흐름을 더욱 분산시킨 것으로 확인되었습니다.

Jaredfromsubway.eth는 누구인가? 가장 악명 높은 MEV 봇 주소

이번 공격이 큰 주목을 받은 이유는 피해자 Jaredfromsubway.eth 자체가 이더리움 네트워크에서 가장 활발하고, 가장 많은 수익을 창출하며, 가장 악명 높은 MEV 봇(단연코 그렇다고 해도 과언이 아님)이기 때문입니다.

소위 "MEV 공격"은 본질적으로 "거래 순서 지정 권한"을 둘러싼 일련의 온체인 차익 거래 행위입니다. 이더리움 네트워크에서 거래는 블록에 포함되기 전에 먼저 멤풀(mempool)에 대기하며, 블록 빌더 또는 검색자는 거래 순서를 조정하거나, 거래를 삽입하거나, 블록 내 거래를 재배열하여 추가 수익을 얻을 수 있습니다.

가장 대표적인 공격 유형은 "샌드위치 공격(Sandwich Attack)"입니다. 공격자는 사용자 거래 전후에 각각 매수 및 매도 주문을 삽입하여 가격 슬리피지를 통해 단시간 내에 차익을 실현합니다. 이러한 행위는 DeFi의 고유동성 거래 쌍에서 매우 흔하며, MEV 생태계에서 가장 기본적인 수익 모델 중 하나를 구성합니다.

Jaredfromsubway.eth는 바로 이 메커니즘 하에서 가장 대표적인 자동 실행자입니다. 전통적인 "단일 차익 거래 봇"과 달리, 이 MEV 봇은 고도로 산업화된 MEV 실행 시스템에 가깝습니다. 멤풀에서 확인되지 않은 거래를 지속적으로 모니터링하여 실시간으로 샌드위치 공격이 가능한 거래 경로를 식별하고, 극히 짧은 시간 내에 거래 구성, 가스 경쟁, 순서 삽입을 완료하여 체계적으로 슬리피지 수익을 포착합니다.

Cointelegraph Research 데이터에 따르면, 2024년 11월부터 2025년 10월까지 이더리움 네트워크에서 매월 약 6만에서 9만 건의 샌드위치 공격이 발생했으며, 이 중 약 70%가 Jaredfromsubway.eth의 전략 시스템과 관련이 있었습니다.

올해 5월, 이더리움 공동 창립자 비탈릭 부테린(Vitalik Buterin)이 26,544개의 DigitalBits(XDB)를 교환할 때도 Jaredfromsubway.eth의 표적 저격을 당했습니다.

Jaredfromsubway.eth의 역사적 수익 상황에 대한 공식 통계는 없지만, 보수적으로 추정할 때 해당 주소는 활동 기간 동안 누적 MEV 수익이 수천만 달러에 달하는 것으로 평가됩니다. 일부 최고조 시기에는 일일 수익이 수십만 달러에 이르렀으며, 오랫동안 이더리움 MEV 순위에서 최상위권을 유지했습니다.

Crypto 보안 위협 심화: 최상위 포식자도 예외일 수 없다

"매를 쫓던 사람이 매에게 쫓기는 꼴"이라는 말이 실감나는 가운데, Jaredfromsubway.eth 공격 사건은 암호화폐의 위험 경보를 다시 한번 울렸습니다.

과거 인식 속에서 Jaredfromsubway.eth와 같은 MEV 봇은 온체인 '포식자' 측에 속했습니다. 이들은 자동화된 전략을 통해 사용자 거래의 슬리피지와 차익 거래 공간을 지속적으로 포착하며 생태계 내에서 우위를 점했고, 심지어 암호화폐 시장에서 가장 대표적인 공격자 유형 중 하나로 여겨졌습니다.

하지만 이번에는 설계되고, 유도되며, 결국 수확의 대상이 되었습니다. 공격자는 전통적인 취약점 공격 경로를 선택하지 않고, 장기간 작동하는 "행동 함정"을 구축하여 MEV 봇의 자동화 시스템이 완전히 자신의 규칙을 따르는 상황에서도 단계적으로 잘못된 결정을 내리도록 유도했습니다.

인정하지 않을 수 없습니다. 한때 '규칙 활용'에 가장 능숙했던 참여자였던 Jaredfromsubway.eth조차도 이제 더 다양한 차원의 공격 표면에 노출되기 시작했습니다.

또한 주목할 점은, Jaredfromsubway.eth가 도난당한 후 X(트위터)에서 9만 4천 명의 팔로워를 보유한 미확인 계정이 이름을 Jaredfromsubway.eth로 변경하고, "모든 자금을 전액 반환하는 대가로 100만 달러 현상금을 걸겠다"고 허위 주장했다는 것입니다.

여러 개발자가 이에 대해 위험 경고를 발표하며, 해당 계정은 Jaredfromsubway.eth의 공식 계정이 아니며(해당 MEV 봇 팀에는 공식 계정이 없음), 향후 이 계정을 이용한 사기 행각이 있을 수 있음을 강조하면서 사용자들에게 각별한 주의를 당부했습니다.