Hunter becomes the hunted: The most profitable MEV bot got hacked

Sáng tác: Odaily 星球日报 (@OdailyChina)

Tác giả: Azuma (@azuma_eth)

Địa chỉ MEV Bot nổi tiếng hoạt động lâu năm trên mạng Ethereum, Jaredfromsubway.eth, đã phải hứng chịu một cuộc tấn công trên chuỗi có chủ đích cực kỳ cao vào thứ Bảy, dẫn đến thiệt hại hơn 7,5 triệu đô la Mỹ.

Theo điều tra của Blockaid và nhiều tổ chức phân tích on-chain, sự cố lần này không phải là một cuộc tấn công phishing hay khai thác lỗ hổng hợp đồng thông minh theo nghĩa truyền thống, mà là một cuộc "tấn công honeypot chống MEV" (counter-MEV honeypot attack) được thiết kế đặc biệt nhắm vào logic hành vi của MEV Bot.

Trong vài tuần trước đó, kẻ tấn công đã triển khai một cách có tổ chức 66 hợp đồng token giả mạo và các bể thanh khoản ảo. Những tài sản này được ngụy trang tinh vi trên chuỗi thành các tài sản ổn định chính thống như WETH, USDC, USDT, và xây dựng nên các đường dẫn giao dịch chênh lệch giá có vẻ như thật.

Trong quá trình này, chuỗi tấn công dần dần được triển khai: Các bể thanh khoản ảo tạo ra tín hiệu "chênh lệch giá có thể khai thác"; MEV bot tự động nhận diện cơ hội chênh lệch giá và thực hiện giao dịch; Robot cấp quyền cho các hợp đồng phụ trợ do kẻ tấn công kiểm soát trong quá trình giao dịch; Quyền hạn không được thu hồi kịp thời, tạo ra sự phơi nhiễm quyền hạn liên tục; Cuối cùng, kẻ tấn công đã gọi logic backdoor đã được cài sẵn trong một giao dịch duy nhất, trực tiếp chuyển đi các tài sản như ETH, USDC và USDT đang nắm giữ trong địa chỉ MEV Bot đó.

Dữ liệu on-chain cho thấy, tổng quy mô tài sản bị đánh cắp của Jaredfromsubway.eth lần này đã vượt quá 7,5 triệu đô la Mỹ. Kẻ tấn công sau đó đã chia nhỏ và chuyển một phần tài sản, đồng thời sử dụng các công cụ trộn để phân tán dòng tiền hơn nữa.

Jaredfromsubway.eth là ai? Địa chỉ MEV Bot khét tiếng nhất

Cuộc tấn công lần này thu hút sự chú ý đến vậy là vì bên bị tấn công, Jaredfromsubway.eth, tự thân nó đã là MEV Bot năng động nhất, kiếm được nhiều tiền nhất và khét tiếng nhất trên mạng Ethereum (thậm chí có thể nói là không có một trong số).

Cái gọi là "tấn công MEV", về bản chất là một loại hành vi chênh lệch giá trên chuỗi xoay quanh "quyền sắp xếp thứ tự giao dịch". Trong mạng Ethereum, các giao dịch trước khi vào khối sẽ đi vào mempool để chờ đóng gói, và người xây dựng khối hoặc người tìm kiếm có thể thu được lợi nhuận bổ sung bằng cách điều chỉnh thứ tự giao dịch, chèn giao dịch hoặc sắp xếp lại các giao dịch trong khối.

Loại tấn công điển hình nhất trong số này là "tấn công bánh sandwich" (Sandwich Attack) — Kẻ tấn công chèn các lệnh mua và bán tương ứng trước và sau giao dịch của người dùng, kiếm lợi nhuận chênh lệch giá trong một khoảng thời gian ngắn thông qua độ trượt giá. Loại hành vi này cực kỳ phổ biến trong các cặp giao dịch có tính thanh khoản cao của DeFi và cấu thành một trong những mô hình sinh lời cơ bản nhất của hệ sinh thái MEV.

Jaredfromsubway.eth chính là người thực thi tự động hóa tiêu biểu nhất dưới cơ chế này. Khác với "robot chênh lệch giá một điểm" truyền thống, MEV Bot này giống một hệ thống thực thi MEV được công nghiệp hóa cao độ hơn. Nó liên tục lắng nghe các giao dịch chưa được xác nhận trong mempool, nhận diện theo thời gian thực các đường dẫn giao dịch có thể bị kẹp, và hoàn tất việc xây dựng giao dịch, đấu giá Gas và chèn thứ tự trong một khung thời gian cực kỳ ngắn, từ đó thu lợi nhuận từ độ trượt giá một cách có hệ thống.

Dữ liệu từ Cointelegraph Research cho thấy, trong giai đoạn từ tháng 11 năm 2024 đến tháng 10 năm 2025, mạng Ethereum ghi nhận khoảng 60.000 đến 90.000 vụ tấn công bánh sandwich mỗi tháng, trong đó khoảng 70% có liên quan đến hệ thống chiến lược của Jaredfromsubway.eth.

Vào tháng 5 năm nay, khi đồng sáng lập Ethereum Vitalik Buterin đổi 26.544 DigitalBits (XDB), giao dịch cũng đã bị Jaredfromsubway.eth nhắm bắn chính xác.

Về tình hình doanh thu lịch sử của Jaredfromsubway.eth, không có thống kê chính thức, nhưng ước tính thận trọng, tổng lợi nhuận MEV mà địa chỉ này tích lũy được trong chu kỳ hoạt động đã lên tới hàng chục triệu đô la. Trong một số giai đoạn cao điểm, thu nhập hàng ngày của nó có thể lên tới hàng trăm nghìn đô la, và nó đã từng duy trì vị trí dẫn đầu trong bảng xếp hạng MEV của Ethereum trong một thời gian dài.

Mối đe dọa bảo mật Crypto gia tăng: Kẻ săn mồi hàng đầu cũng không thể thoát

Trong khi cảm thán "kẻ săn chim cuối cùng cũng bị mổ mắt", vụ tấn công vào Jaredfromsubway.eth một lần nữa gióng lên hồi chuông cảnh báo rủi ro về tiền điện tử.

Trong nhận thức trước đây, các MEV Bot như Jaredfromsubway.eth thuộc phe "kẻ săn mồi" trên chuỗi — chúng liên tục khai thác độ trượt giá và không gian chênh lệch giá trong các giao dịch của người dùng thông qua các chiến lược tự động hóa, bản thân chúng ở vị trí thuận lợi trong hệ sinh thái, thậm chí có thể nói là một trong những kiểu kẻ tấn công tiêu biểu nhất trong thị trường tiền điện tử.

Nhưng lần này, nó lại trở thành đối tượng bị thiết kế, bị dụ dỗ và cuối cùng bị gặt hái. Và kẻ tấn công đã không chọn con đường khai thác lỗ hổng theo nghĩa truyền thống, mà xây dựng một "cái bẫy hành vi" hoạt động lâu dài, khiến hệ thống tự động của MEV Bot, trong khi hoàn toàn tuân thủ các quy tắc của nó, từng bước đi đến quyết định sai lầm.

Phải thừa nhận rằng, ngay cả những người tham gia từng giỏi nhất trong việc "lợi dụng quy tắc" như Jaredfromsubway.eth, giờ đây cũng bắt đầu bị phơi nhiễm trước nhiều mặt trận tấn công hơn.

Ngoài ra, đáng chú ý là sau khi Jaredfromsubway.eth bị đánh cắp, một tài khoản không xác định trên X với 94.000 người theo dõi đã đổi tên thành Jaredfromsubway.eth và tuyên bố sai sự thật rằng sẽ "treo thưởng 1 triệu đô la Mỹ để yêu cầu trả lại toàn bộ số tiền".

Nhiều nhà phát triển đã đưa ra cảnh báo rủi ro về việc này, nhấn mạnh rằng tài khoản đó không phải là tài khoản chính thức của Jaredfromsubway.eth (nhóm MEV Bot này không có tài khoản chính thức), và không loại trừ khả năng sau này họ sẽ sử dụng tài khoản này để lừa đảo, đề nghị người dùng nhất định phải giữ cảnh giác.