Le bot MEV JaredFromSubway.eth, responsable de 70 % des attaques sandwich sur Ethereum entre novembre 2024 et octobre 2025 selon nos informations, a été victime d’une attaque sophistiquée le 21 juin 2026. Selon la firme de sécurité Blockaid, les pertes s’élèvent à environ 7,5 millions de dollars en WETH, USDC et USDT. Le développeur du bot chiffre lui-même le préjudice à 15 millions, et offre une prime de 1 million de dollars pour la restitution des fonds.

Comment l’attaque a-t-elle fonctionné ?

L’exploit ne repose ni sur une faille de smart contract classique, ni sur du hameçonnage. Blockaid indique que l’attaquant a déployé de faux enveloppes de tokens et de fausses réserves de liquidité. Ces contrats factices ont trompé le système d’exécution automatisé du bot, qui a accordé des autorisations de transfert (approve) à des adresses contrôlées par l’agresseur.

Une fois ces autorisations obtenues et non révoquées, l’attaquant a utilisé la fonction transferFrom pour vider les avoirs du bot. La mécanique est redoutable : c’est le bot lui-même, en cherchant automatiquement des opportunités d’arbitrage, qui a signé sa propre perte.

« L’incident n’était pas une attaque de phishing ni une vulnérabilité dans le contrat victime, mais une exploitation du mécanisme de détection automatique d’opportunités MEV et de génération d’autorisations. » : Blockaid (traduit de l’anglais)

Pourquoi les montants divergent-ils selon les sources ?

Nos informations font état d’un écart notable entre les estimations. Blockaid et Wu Blockchain évaluent la perte à 7,5 millions de dollars. Le développeur du bot, qui s’est exprimé directement, parle quant à lui de 15 millions. Cette divergence pourrait s’expliquer par la différence entre les actifs drainés au moment de la détection par Blockaid et le total comptabilisé après analyse complète des transactions. Le détail exact n’est pas connu à ce stade.

Ce n’est pas la première fois qu’un exploit vide des actifs en exploitant les mécanismes d’approbation automatique : 1inch avait subi une attaque similaire via son module TrustedVolumes pour 5,9 millions en ETH et BTC.

Qui est JaredFromSubway.eth ?

JaredFromSubway.eth est l’un des bots MEV (Maximal Extractable Value) les plus actifs sur Ethereum. Il pratique principalement les attaques sandwich : il détecte une transaction en attente dans la mempool, en place une avant et une après pour capturer la glissance de prix que subit la victime. Sur la période novembre 2024 à octobre 2025, il aurait représenté 70 % de ce type d’attaques sur le réseau.

Ironie de la situation : un outil conçu pour exploiter les autres utilisateurs de la blockchain vient d’être exploité par les mêmes mécanismes qu’il utilise. L’automatisation qui le rendait profitable est devenue son talon d’Achille. Cette vulnérabilité de retournement rappelle le contre-exploit Wormhole de 225 millions de dollars, où les propres failles d’un attaquant avaient permis de récupérer des fonds.

Le développeur a posté un message public proposant une prime d’un million de dollars, conditionnée à la restitution intégrale des fonds, avec garantie de confidentialité. L’offre est qualifiée de « légitime et urgente ». Ce type de tractation publique post-exploit est devenu courant dans l’écosystème DeFi : Aave avait adopté une approche similaire après l’exploit KelpDAO pour renforcer son cadre de gestion des risques.

Exploit JaredFromSubway.eth : 7,5 à 15 M$ drainés Le bot MEV le plus actif d'Ethereum a perdu entre 7,5 et 15 millions de dollars en WETH, USDC et USDT lors d'un exploit par faux contrats le 21 juin 2026. Exploit JaredFromSubway.eth - 21 juin 2026 7,5-15 M$ WETH, USDC et USDT drainés via fausses approbations de tokens (transferFrom) Source : Blockaid, PANews, 21 juin 2026

Quelles implications pour la sécurité des bots automatisés ?

Cet incident illustre une surface d’attaque sous-estimée dans l’écosystème MEV : l’automatisation aveugle des approbations. Les bots qui interagissent en continu avec des contrats inconnus sans validation stricte de leur légitimité sont exposés à ce type de manipulation.

Plusieurs incidents récents montrent que les exploits par détournement de mécanismes d’autorisation multisig ou d’approbation automatique se multiplient. Le cas du token GUA, qui avait chuté de 76 % après une attaque multisig, témoigne de la même tendance.

La prime d’un million de dollars proposée par le développeur restera probablement sans réponse. Sur les 10 derniers exploits DeFi de plus de 5 millions, aucune restitution complète n’a été obtenue via ce mécanisme en moins de 72 heures.

Notre lecture L’attaque contre JaredFromSubway.eth retourne la mécanique MEV contre elle-même. Le bot exploitait les utilisateurs ordinaires en anticipant leurs transactions : il vient d’être pris au piège d’une opportunité factice. C’est un rappel brutal que les systèmes automatisés sans validation de confiance sont des cibles privilégiées, quelle que soit leur sophistication initiale.

À retenir

Le bot MEV JaredFromSubway.eth a perdu entre 7,5 et 15 millions de dollars via de faux contrats qui ont contourné son système d’approbation automatique. L’affaire soulève une question de fond sur la sécurité des protocoles exposant des failles cross-chain et des automatismes MEV. À surveiller : l’éventuelle récupération on-chain des fonds et les mesures de sécurité que le secteur MEV adoptera en réponse.

Sources

Signal Baissier
Impact Modéré
Nous ajouter à vos sources préférées sur Google