בוט הקריפטו הידוע לשמצה 'Jaredfromsubway' מתבדה ומרוקן תמורת 7.5 מיליון דולר
אחד מבוטי המסחר הידועים לשמצה של Ethereum פשוט הוכה במשחק משלו. Jaredfromsubway.eth, בוט למסחר קריפטו המזוהה מזה זמן רב עם עסקאות DeFi שרשרת קדמיות ושם שמתייחס לדובר הרכבת התחתית לשעבר, ג'ארד פוגל, המביש, פותה למלכודת וניזל בכ-7.5 מיליון דולר בקריפטו.
ב-Ethereum וברשתות קריפטו דומות, MEV מייצג ערך מקסימלי שניתן לחלץ (הידוע במקור כ-Minerable value). במילים פשוטות, זה מתייחס לרווח הנוסף שניתן לעשות על ידי שליטה על אופן הזמנת העסקאות בתוך בלוק בבלוקצ'יין מסוים. בעיקרון, מי שמרכיב בלוק ברשת קריפטו יושב בעמדה מיוחסת ויכול להרוויח מלראות עסקאות משתמשים לפני שהן מסתיימות. זה רלוונטי ביותר לרשתות קריפטו שבהן חיות יישומי פיננסים מבוזרים (DeFi), כמו Ethereum.
הרעיון הופך להרבה יותר קל להבנה ברגע שמגיעים להתקפות סנדוויץ', שהן המומחיות של Jaredfromsubway. בהתקפת סנדוויץ', בוט מזהה סחר ממתין ב-mempool של רשת הקריפטו, קופץ לפניו עם הזמנת קנייה משלו, נותן לסחר של הקורבן לדחוף את המחיר גבוה יותר, ואז מוכר מיד לאחר מכן. המשתמש מקבל מחיר ביצוע גרוע יותר, בעוד הבוט מרוויח מהשפעת המחיר של הקורבן ומהביצוע הגרוע יותר המותר על ידי המשתמש החלקה הגדרות.
Jaredfromsubway הפכה לשמצה כי היא תיעשה את התהליך הזה. הבוט צוטט בהרחבה כאחד מתוקפי הסנדוויצ'ים הפוריים ביותר ב-Ethereum, ו דו"ח קודם מ-Cointelegraph Research קישר את הבוט לכ-70% ממתקפות הסנדוויצ'ים ברשת מנובמבר 2024 עד אוקטובר 2025. עבור משתמשי DeFi הרגילים, זה הפך את Jaredfromsubway לפחות ממם ויותר לגובה מס חוזר המוטבע במבנה המסחר. פרוטו שהודגשו לאחרונה עד כמה Jaredfromsubway יכול להיות אופורטוניסטי כשדיווח שהבוט אפילו סנדוויץ' תקף סחר שנעשה על ידי יוצר Ethereum Vitalik Buterin.
איך רימו את ג'ארד מהרכבת התחתית
המוניטין הזה הוא מה שהפך את התקרית האחרונה לכל כך בולטת. במקום לנצל באג חוזה חכם או לגנוב מפתח פרטי, נראה שהתוקף כיוון ללוגיקה התפעולית של Jaredfromsubway. דיווחים על התקרית תיארו אותה כמעין סיר דבש נגד MEV. על פי שרשור X שפורסם על ידי פלטפורמת אבטחת קריפטו Blockaidההגדרה כללה עשרות אסימוני ERC-20 מזויפים, חלקם נועדו לחקות נכסים מוכרים כמו WETH, USDC ו-USDT, יחד עם מאגרי נזילות מדומה שגרמו לחוזים להיראות כמו הזדמנויות רווחיות למערכת מסחר אוטומטית (הערה: הקוראים לא צריכים להניח שחשבון Jaredfromsubway המתויג ב-Blockaid הוא מתנהל ב-Blockaid).
🚨התראת קהילה:
מערכת Blockaid Exploit Detection זיהתה ניצול הכולל את @jaredsmev בוט MEV על Ethereum.
התקרית נבעה מחוזים בשליטת תוקפים שהטעו מערכת ביצוע MEV אוטומטית למתן אישורי אסימונים, שימשו מאוחר יותר לניקוז כספים.— Blockaid (@blockaid_) 20 ביוני 2026
העניין היה לא להערים על סוחר אנושי ללחוץ על קישור זדוני. זה היה כדי לפתות בוט כמו Jaredfromsubway לעשות מה שהוא תמיד עושה.
התוקף פרס 66 חוזי אסימונים מזויפים על פני תקופה של שבועות ובנה אותם כך שיהיו דומים להזדמנויות MEV רווחיות, אומר בלוקאייד את התקרית. על מנת ליצור אינטראקציה עם המסלולים הללו, המערכת של Jaredfromsubway אישרה חוזי מסייעים בשליטת תוקף להוציא אסימונים בשמה. בהתחלה, על פי הדיווחים, האישורים הללו נראו לא מזיקים מכיוון שהעסקאות הקשורות השתמשו מיד בקצבאות. עם זאת, מאוחר יותר, התוקף הציג מסלולים שהותירו חלק מהקצבאות ללא שימוש, והעניקו לחוזים בשליטת התוקף אישור עמידה להעביר את האסימונים של הבוט. לאחר שהצטברו מספיק ההרשאות הללו, התוקף סחף WETH, USDC ו-USDT מקוריים מכתובות שנשלטות על ידי פעולת MEV.
ההובלה הכוללת הוערכה בכ-7.5 מיליון דולר, והישות שהטמנה את המלכודת שלחה מאז חלק מהכספים הללו למערבל הקריפטו מבוסס Ethereum Tornado Cash, לפי CoinDesk.
סוגיות רחבות יותר של DeFi
Jaredfromsubway הוא דוגמה חיה לנושא רחב יותר עם פעילות פיננסית בבלוקצ'יין שקוף. אם עסקאות ממתינות גלויות לפני שהן מסתדרות, אז שחקנים עם גישה מועדפת לחסום ייצור יכולים לנצל את הנראות הזו. אפילו בפיננסים מסורתיים, ריצה קדמית היא מילה גסה. ב-DeFi, גרסאות של אותו סוג של התנהגות טופלו לעתים קרובות כאל מודל עסקי או כאל תופעת לוואי בלתי נמנעת של מערכות פתוחות.
כמובן, חוקרים וספקי תשתית מפתחים גם דרכים להגביל את הצורות המזיקות יותר של MEV, כולל ניתוב עסקאות פרטיות, מאגר זיכרון מוצפן ומנגנונים שנועדו להפוך את סדר העסקאות להוגן יותר או פחות רגיש למניפולציה.
וגם אם שמים בצד את MEV, שיא האבטחה של מגזר ה-DeFi נראה הרבה יותר רעוע בשנה האחרונה בערך. באפריל, אנליסטים של JPMorgan אמר פרצות אבטחה מתמשכות ממשיכות להגביל את המשיכה המוסדית של DeFi. יש לציין כי אפריל היה החודש הגרוע ביותר שנרשם עבור פריצות לפרוטוקול קריפטו במספר עצום של תקריות, עם 29 פריצות שבוצעו בחודש בודד והפסדים של 651 מיליון דולר נרשמו.
מנואל אראוז, מייסד שותף של OpenZeppelin ואחד השמות הבולטים המוקדמים בביקורת חוזים חכמים, אמר לאחרונה שהוא רואה כעת את כל ה-DeFi לא בטוח והמליץ לחברים ובני משפחה לעזוב את תפקידיהם. הטענה שלו הייתה שבינה מלאכותית מחמירה את חוסר האיזון של תוקף-מגן, מכיוון שסוכני קידוד הופכים ל"על-אנושיים באיתור נקודות תורפה" בזמן שהמגנים עדיין מדביקים את הפרדיגמה החדשה הזו. עם זאת, הפגיעות האחרונה שנמצאה ב-Zcash (ZEC) שהייתה מאפשרת לתוקף להדפיס ZEC ביעילות יש מאין, התגלתה על פי דיווחים באמצעות שימוש פרואקטיבי והגנתי בקלוד אופוס 4.8 של Anthropic. OpenZeppelin גם התרחקה מההערכה של Aráoz, ואמרה שהאיום הוא אמיתי אך טענה שעבודת אבטחה מתוגברת ורציפה של AI היא התגובה המתאימה במקום נטישת DeFi.