Tác giả|Azuma(@azuma_eth)
Địa chỉ MEV Bot nổi tiếng Jaredfromsubway.eth, thường xuyên hoạt động trên mạng lưới Ethereum, đã trở thành mục tiêu của một cuộc tấn công trên chuỗi có tính chọn lọc cao vào thứ Bảy và thiệt hại hơn 7,5 triệu USD.
Theo điều tra từ Blockaid và nhiều tổ chức phân tích trên chuỗi, sự kiện này không phải là cuộc tấn công lừa đảo truyền thống hay khai thác lỗ hổng hợp đồng thông minh, mà là một "cuộc tấn công mật ong phản MEV" (counter-MEV honeypot attack) được thiết kế đặc biệt nhắm vào logic hành vi của MEV Bot.
Trong vài tuần trước đó, kẻ tấn công đã có tổ chức triển khai 66 hợp đồng token giả mạo và nhóm thanh khoản giả mạo. Những tài sản này trên chuỗi được ngụy trang tinh vi thành các tài sản ổn định chính như WETH, USDC, USDT và tạo ra các đường giao dịch chênh lệch giá (arbitrage) trông có vẻ chân thực.
Trong quá trình này, chuỗi tấn công dần được triển khai — các nhóm thanh khoản giả tạo ra tín hiệu "chênh lệch giá có thể arbitrage"; MEV bot tự động nhận diện cơ hội arbitrage và thực hiện giao dịch; trong quá trình giao dịch, bot đã cấp quyền cho hợp đồng phụ trợ do kẻ tấn công kiểm soát; quyền này không bị thu hồi kịp thời, tạo thành lỗ hổng quyền truy cập kéo dài;Cuối cùng, kẻ tấn công trong một giao dịch đơn lẻ đã kích hoạt logic backdoor đã cài đặt trước, trực tiếp chuyển các tài sản ETH, USDC và USDT mà địa chỉ MEV bot này đang nắm giữ.
Dữ liệu trên chuỗi cho thấy,tổng quy mô tài sản bị đánh cắp từ Jaredfromsubway.eth lần này đã vượt quá 7,5 triệu USD, kẻ tấn công sau đó đã chia nhỏ và chuyển một phần tài sản, đồng thời phân tán dòng tiền hơn nữa thông qua các công cụ trộn tiền.
Jaredfromsubway.eth là ai? Địa chỉ MEV Bot tai tiếng nhất
Lý do cuộc tấn công này hiện thu hút sự chú ý là vìbên bị tấn công - Jaredfromsubway.eth - vốn dĩ là MEV Bot hoạt động tích cực nhất, kiếm nhiều tiền nhất và tai tiếng nhất trên mạng lưới Ethereum (thậm chí có thể không cần thêm từ 'một trong những').
Cái gọi là "tấn công MEV", về bản chất là một loại hành vi arbitrage trên chuỗi xoay quanh "quyền sắp xếp giao dịch". Trong mạng lưới Ethereum, giao dịch trước khi được đưa vào khối sẽ vào mempool chờ đóng gói, và người xây dựng khối hoặc người tìm kiếm có thể điều chỉnh thứ tự giao dịch, chèn giao dịch hoặc sắp xếp lại giao dịch trong khối để thu lợi nhuận bổ sung.
Loại hình tấn công điển hình nhất là "Tấn công Kẹp Sandwich" (Sandwich Attack) — kẻ tấn công chèn các lệnh mua và bán vào trước và sau giao dịch của người dùng, thực hiện arbitrage trong thời gian ngắn thông qua trượt giá. Hành vi này rất phổ biến trong các cặp giao dịch có tính thanh khoản cao của DeFi, đồng thời cũng tạo nên mô hình kiếm tiền cơ bản nhất trong hệ sinh thái MEV.
Jaredfromsubway.eth chính là người thực thi tự động tiêu biểu nhất dưới cơ chế này. Khác với "bot arbitrage đơn điểm" truyền thống, MEV Bot này giống như một hệ thống thực thi MEV được công nghiệp hóa cao. Nó liên tục theo dõi các giao dịch chưa được xác nhận trong mempool, nhận diện thời gian thực các đường giao dịch có thể bị kẹp, và hoàn thành việc xây dựng giao dịch, đấu giá Gas và chèn/sắp xếp trong cửa sổ thời gian cực ngắn, từ đó thu lợi nhuận từ trượt giá một cách có hệ thống.
Dữ liệu từ Cointelegraph Research cho thấy,trong giai đoạn từ tháng 11/2024 đến tháng 10/2025, mạng lưới Ethereum mỗi tháng xảy ra khoảng 60.000 đến 90.000 vụ tấn công kẹp sandwich, trong đó khoảng 70% có liên quan đến hệ thống chiến lược của Jaredfromsubway.eth.
Vào tháng 5 năm nay,khi đồng sáng lập Ethereum Vitalik Buterin chuyển đổi 26.544 DigitalBits (XDB), giao dịch của ông cũng từng bị Jaredfromsubway.eth chặn đánh có chủ đích.
Về tình hình doanh thu lịch sử của Jaredfromsubway.eth, không có số liệu thống kê chính thức,nhưng ước tính thận trọng cho thấy lợi nhuận MEV tích lũy mà địa chỉ này thu được trong chu kỳ hoạt động đã đạt đến mức hàng chục triệu USD. Trong một số thời kỳ cao điểm, lợi nhuận hàng ngày của nó có thể lên tới hàng trăm nghìn USD và từng xuất hiện ổn định lâu dài ở vị trí đứng đầu bảng xếp hạng MEV của Ethereum.
Mối đe dọa an ninh Crypto gia tăng: Kẻ săn mồi hàng đầu cũng không thoát được
Trong khi cảm thán rằng "người chơi đại bàng cuối cùng cũng bị mổ mắt", vụ Jaredfromsubway.eth bị tấn công cũng một lần nữa gióng lên hồi chuông cảnh báo rủi ro về tiền mã hóa.
Trong nhận thức trước đây,các MEV Bot như Jaredfromsubway.eth thuộc về phía "kẻ săn mồi" trên chuỗi — chúng sử dụng chiến lược tự động để liên tục bắt lấy các điểm trượt giá và khoảng trống arbitrage trong giao dịch của người dùng, bản thân đang ở vị trí ưu thế trong hệ sinh thái, thậm chí có thể nói là một trong những loại kẻ tấn công tiêu biểu nhất trong thị trường tiền mã hóa.
Nhưng lần này, nó lại trở thành đối tượng bị thiết kế, bị dẫn dụ và cuối cùng bị thu hoạch, và kẻ tấn công đã không chọn con đường khai thác lỗ hổng theo nghĩa truyền thống, mà xây dựng một "cái bẫy hành vi" hoạt động lâu dài, khiến hệ thống tự động hóa MEV Bot, trong khi hoàn toàn tuân thủ các quy tắc của nó, lại từng bước đi đến quyết định sai lầm.
Không thể không thừa nhận rằng,ngay cả những người tham gia từng giỏi "lợi dụng quy tắc" như Jaredfromsubway.eth, giờ đây cũng đã bắt đầu phơi bày trước nhiều mặt tấn công đa chiều hơn.
Ngoài ra đáng chú ý là, sau khi Jaredfromsubway.eth bị đánh cắp, một tài khoản vô danh nào đó trên X có 94.000 người theo dõi đã đổi tên thành Jaredfromsubway.eth và tuyên bố giả mạo rằng sẽ "treo thưởng 1 triệu USD để yêu cầu hoàn trả toàn bộ số tiền".
Nhiều nhà phát triển đã đưa ra cảnh báo rủi ro về việc này,nhấn mạnh rằng tài khoản đó không phải là tài khoản chính thức của Jaredfromsubway.eth (nhóm MEV Bot này không có tài khoản chính thức), không loại trừ khả năng sau này sẽ lợi dụng tài khoản này để lừa đảo, người dùng nhất định phải cảnh giác.
