Le bot MEV Jaredfromsubway.eth, responsable d’environ 70 % des sandwich attacks sur Ethereum, a perdu plus de 7,5 millions de dollars dans un allowance drain. L’attaquant n’a pas compromis les clés privées du bot, mais a exploité ses mécanismes d’approbation automatique de contrats. Selon l’analyse de Blockaid, l’opération révèle un angle mort de cybersécurité pour les systèmes de trading automatisés.
L’attaquant a déployé pendant plusieurs semaines des faux tokens et des pools de liquidité imités, conçus pour ressembler aux marchés que Jaredfromsubway.eth cible habituellement. Le bot a autorisé des contrats attaquants comme s’il s’agissait de routes de trading légitimes. L’astuce a transformé des permissions ERC-20 inutilisées en une autorisation de retrait direct.
Comment le bot Jaredfromsubway.eth a-t-il été vidé ?
L’attaque a reposé sur le mécanisme des ERC-20 allowances, une fonction standard qui permet à un contrat de dépenser un montant donné de tokens depuis le compte qui a donné l’approbation. Jaredfromsubway.eth, dans son processus de trading automatisé, approuvait régulièrement des contrats helper pour exécuter des swaps.
Les premiers échanges avec les faux contrats ont fonctionné normalement, ce qui a renforcé la confiance du bot. Mais des transactions ultérieures ont laissé des approbations inutilisées : des permissions non consommées que l’attaquant a ensuite exploitées via la fonction transferFrom. Les fonds volés (environ 92 WETH, 143 000 USDC et 149 000 USDT) ont été envoyés vers un wallet contrôlé par l’attaquant, puis partiellement mélangés via Tornado Cash.
Qu’est-ce qu’un allowance drain et pourquoi est-il dangereux ?
Un allowance drain n’est pas un smart contract hack classique : il n’exploite pas un bug dans le code d’un protocole DeFi, mais un défaut de cycle de vie des permissions. Une fois qu’un bot automatisé approuve un contrat, cette approbation reste active jusqu’à ce qu’elle soit épuisée, réduite ou révoquée. L’attaquant a simplement laissé les permissions s’accumuler avant de les activer en une seule opération coordonnée.
Ce vecteur est particulièrement dangereux pour les systèmes automatisés qui doivent évaluer et approuver des contrats en quelques secondes. Le développeur de Yearn Finance, Banteg, a décrit l’opération comme un retrait systématique via une fonction de coordination appelée sur des dizaines de contrats subsidiaires.
Quel impact cet exploit a-t-il sur la sécurité DeFi ?
Jaredfromsubway.eth était l’un des plus gros opérateurs de sandwich attacks sur Ethereum : une forme de MEV où le bot achète un actif juste avant un ordre utilisateur pour le revendre aussitôt après. Selon les données on-chain, ces attaques coûtaient environ 60 millions de dollars par an aux traders, dont 70 % attribuables à ce seul bot.
L’incident montre que la sécurité des systèmes automatisés ne se limite pas à l’audit des smart contracts. L’opsec : la gestion des permissions, le cycle de vie des approvals et la détection d’anomalies dans les schémas d’approbation : devient un maillon critique. Plusieurs analyses de sécurité, dont celles de Blockaid, soulignent que des bots similaires pourraient être vulnérables à la même technique.
À retenir
L’exploit de Jaredfromsubway.eth illustre un risque croissant dans l’écosystème DeFi : les systèmes de trading automatisé accumulent des permissions ERC-20 sans mécanisme de révocation dynamique. Alors que le marché des MEV bots continue de croître, la gestion des allowances devient un enjeu de sécurité opérationnelle au moins aussi important que l’audit des protocoles.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash