Drainage par honeypot du bot MEV jaredfromsubway.eth

Le 20 juin 2026, jaredfromsubway.eth — longtemps le bot MEV de « sandwich » le plus actif d'Ethereum — a été drainé pour environ 7,5 millions de dollars dans un ironique honeypot counter-MEV qui a retourné la propre logique de trading du bot contre lui. Plutôt que d'exploiter un bug de contrat ou de voler une clé, l'attaquant a passé des semaines à monter de faux marchés qui ont incité le bot à accorder des approbations de tokens qu'il ne pourrait jamais récupérer.

Ce qui s'est passé

L'opérateur a déployé 66 contrats de tokens contrefaits imitant les noms et interfaces de WETH, USDC et USDT, puis les a couplés à de faux pools de liquidité. Pour le moteur de détection d'opportunités du bot, les routes ressemblaient aux trades de sandwich rentables qu'il est conçu pour front-run et back-run, alors il a approuvé 66 contrats auxiliaires contrôlés par l'attaquant afin de dépenser ses vrais tokens. Lors de petits essais, les approbations étaient consommées dans le trade comme prévu ; mais dans les transactions-appâts plus grandes, l'attaquant a structuré les routes de sorte que les approbations restent ouvertes. Les données on-chain ont montré un unique balayage à 18:49 UTC déplaçant 1 474,58 WETH, environ 2,87 millions d'USDC et à peu près 2 millions d'USDT vers une adresse de l'attaquant. La société de sécurité Blockaid, qui a révélé le drainage, l'a qualifié de honeypot counter-MEV — explicitement ni phishing, ni compromission de clé privée, ni bug de contrat intelligent. Un compte X se faisant passer pour l'opérateur du bot a revendiqué une perte de 15 millions de dollars et fait miroiter une prime d'un million, mais des observateurs on-chain l'ont signalé comme un imposteur ; le chiffre crédible est celui de ~7,5 M$ tracé par Blockaid.

Conséquences

La perte est tombée entièrement sur un unique bot MEV automatisé — ni la couche de base d'Ethereum ni aucun protocole DeFi grand public n'a été affecté. Aucun fonds n'a été récupéré, et le véritable opérateur du bot a seulement confirmé que de faux pools et tokens l'avaient trompé pour qu'il approuve des contrats auxiliaires. L'épisode a suscité une schadenfreude inhabituelle dans la communauté, étant donné que jaredfromsubway.eth avait lui-même extorqué des centaines de millions à des traders ordinaires via des attaques de sandwich.

Pourquoi c'est important

C'est un exemple net de la manière dont les agents automatisés sont transformés en armes par leurs propres incitations : un bot qui fait aveuglément confiance à toute route « rentable » n'est aussi sûr que son filtre le plus faible, et les approbations de tokens illimitées transforment un seul mauvais trade en drainage total. Cela fait écho à Banana Gun, où l'automatisation d'un bot de trading est devenue la surface d'attaque, et à RouteProcessor2 de Sushi, où des approbations ouvertes — et non un exploit de protocole — ont été le mécanisme de la perte. À mesure que davantage de capitaux sont délégués à des agents autonomes on-chain, les honeypots qui appâtent la logique des machines plutôt que des victimes humaines deviennent une catégorie d'attaque distincte et croissante.