Bài gốc | Odaily 星球日报(@OdailyChina)
Tác giả|Azuma(@azuma_eth)
Địa chỉ MEV Bot nổi tiếng Jaredfromsubway.eth, hoạt động lâu năm trên mạng Ethereum, đã gặp phải một cuộc tấn công có mục tiêu cao trên chuỗi vào thứ Bảy và thiệt hại hơn 7,5 triệu đô la.
Theo điều tra của Blockaid và nhiều cơ quan phân tích trên chuỗi, sự kiện này không phải là một cuộc tấn công lừa đảo (phishing) truyền thống hay khai thác lỗ hổng hợp đồng thông minh, mà là một loại "cuộc tấn công hộp mật ngược MEV" (counter-MEV honeypot attack) được thiết kế đặc biệt nhắm vào logic hoạt động của MEV Bot.
Trong vài tuần trước đó, kẻ tấn công đã có tổ chức triển khai 66 hợp đồng token giả mạo và các nhóm thanh khoản giả. Các tài sản này được ngụy trang tinh vi trên chuỗi thành các tài sản ổn định chính như WETH, USDC, USDT và tạo ra các đường giao dịch chênh lệch giá (arbitrage) trông có vẻ thật.
Trong quá trình này, chuỗi tấn công dần mở ra — các nhóm thanh khoản giả tạo ra tín hiệu "chênh lệch giá có thể arbitrage"; MEV bot tự động nhận diện cơ hội arbitrage và thực hiện giao dịch; robot trong quá trình giao dịch đã cấp quyền (approve) cho hợp đồng phụ trợ do kẻ tấn công kiểm soát; quyền này không được thu hồi kịp thời, tạo ra lỗ hổng quyền truy cập liên tục; cuối cùng, kẻ tấn công trong một giao dịch duy nhất đã gọi logic backdoor đã cài đặt trước, trực tiếp chuyển đi các tài sản như ETH, USDC và USDT mà địa chỉ MEV bot này đang nắm giữ.
Dữ liệu trên chuỗi cho thấy, tổng quy mô tài sản bị đánh cắp từ Jaredfromsubway.eth trong lần này đã vượt quá 7,5 triệu đô la, kẻ tấn công sau đó đã chia nhỏ và chuyển đi một phần tài sản, đồng thời phân tán hơn nữa dòng tiền thông qua các công cụ trộn tiền (mixer).
Jaredfromsubway.eth là ai? Địa chỉ MEV Bot tai tiếng nhất
Lý do cuộc tấn công này hiện thu hút sự chú ý là vì bên bị tấn công, Jaredfromsubway.eth, bản thân nó chính là MEV Bot hoạt động sôi nổi nhất, kiếm tiền giỏi nhất và tai tiếng nhất trên mạng Ethereum (thậm chí có thể không cần thêm từ "một trong những").
Bản chất của "tấn công MEV" là một loại hành vi kiếm lời trên chuỗi xoay quanh "quyền sắp xếp giao dịch". Trong mạng Ethereum, giao dịch trước khi được đưa vào khối sẽ vào mempool để chờ đóng gói, và người xây dựng khối (block builder) hoặc người tìm kiếm (searcher) có thể điều chỉnh thứ tự giao dịch, chèn giao dịch hoặc sắp xếp lại giao dịch trong khối để thu lợi nhuận bổ sung.
Loại tấn công điển hình nhất trong đó là "Tấn công Kẹp Bánh" (Sandwich Attack) — kẻ tấn công chèn các thao tác mua và bán lần lượt trước và sau giao dịch của người dùng, hoàn thành việc kiếm lời trong thời gian ngắn thông qua trượt giá. Hành vi này cực kỳ phổ biến trong các cặp giao dịch có tính thanh khoản cao của DeFi, và cũng cấu thành mô hình kiếm lời cơ bản nhất trong hệ sinh thái MEV.
Jaredfromsubway.eth chính là người thực thi tự động tiêu biểu nhất dưới cơ chế này. Khác với "robot arbitrage đơn điểm" truyền thống, MEV Bot này giống như một hệ thống thực thi MEV được công nghiệp hóa cao độ. Nó liên tục theo dõi các giao dịch chưa được xác nhận trong mempool, nhận diện thời gian thực các đường giao dịch có thể bị kẹp, và hoàn thành việc xây dựng giao dịch, đấu giá Gas và chèn sắp xếp trong cửa sổ thời gian cực ngắn, từ đó thu lợi nhuận trượt giá một cách có hệ thống.
Số liệu từ Cointelegraph Research cho thấy, trong giai đoạn từ tháng 11/2024 đến tháng 10/2025, mạng Ethereum mỗi tháng xảy ra khoảng 60.000 đến 90.000 vụ tấn công kẹp bánh, trong đó khoảng 70% liên quan đến hệ thống chiến lược của Jaredfromsubway.eth.
Vào tháng 5 năm nay, khi đồng sáng lập Ethereum Vitalik Buterin đổi 26.544 DigitalBits (XDB), giao dịch của ông cũng từng bị Jaredfromsubway.eth phục kích có mục tiêu.
Về tình hình doanh thu lịch sử của Jaredfromsubway.eth, không có số liệu thống kê chính thức, nhưng ước tính thận trọng thì lợi nhuận MEV tích lũy mà địa chỉ này thu được trong chu kỳ hoạt động đã đạt đến cấp độ hàng chục triệu đô la. Trong một số thời kỳ cao điểm, lợi nhuận một ngày của nó có thể lên tới hàng trăm nghìn đô la, và từng xuất hiện ổn định lâu dài ở vị trí hàng đầu trong bảng xếp hạng MEV của Ethereum.
Mối đe dọa an ninh Crypto gia tăng: Kẻ săn mồi hàng đầu cũng không thoát khỏi
Trong khi cảm thán "người chơi chim ưng cuối cùng cũng bị mổ mắt", sự việc Jaredfromsubway.eth bị tấn công cũng một lần nữa gióng lên hồi chuông cảnh báo rủi ro cho tiền mã hóa.
Trong nhận thức trước đây, những MEV Bot như Jaredfromsubway.eth thuộc về phía "kẻ săn mồi" trên chuỗi — chúng thông qua chiến lược tự động liên tục bắt lấy điểm trượt và không gian arbitrage trong giao dịch của người dùng, bản thân đang ở vị trí ưu thế trong hệ sinh thái, thậm chí có thể nói là một trong những loại kẻ tấn công tiêu biểu nhất trên thị trường tiền mã hóa.
Nhưng lần này, nó lại trở thành đối tượng bị thiết kế, bị dụ dỗ, cuối cùng bị thu hoạch, và kẻ tấn công đã không chọn con đường khai thác lỗ hổng theo nghĩa truyền thống, mà xây dựng một "bẫy hành vi" vận hành lâu dài, khiến hệ thống tự động MEV Bot trong điều kiện hoàn toàn tuân thủ quy tắc của nó, từng bước đi đến quyết định sai lầm.
Phải thừa nhận rằng, ngay cả những người tham gia từng "lợi dụng quy tắc" thành thạo nhất như Jaredfromsubway.eth, giờ đây cũng đã bắt đầu phơi bày trước nhiều mặt tấn công đa chiều hơn.
Ngoài ra đáng chú ý là, sau khi Jaredfromsubway.eth bị đánh cắp, một tài khoản vô danh nào đó trên X có 94.000 người theo dõi đã đổi tên thành Jaredfromsubway.eth, và tuyên bố giả mạo rằng sẽ "treo thưởng 1 triệu đô la để đòi lại toàn bộ số tiền".
Nhiều nhà phát triển đã đưa ra cảnh báo rủi về việc này, nhấn mạnh rằng tài khoản đó không phải là tài khoản chính thức của Jaredfromsubway.eth (nhóm MEV Bot này không có tài khoản chính thức), sau này không loại trừ khả năng sẽ lợi dụng tài khoản này để lừa đảo, người dùng nhất định phải cảnh giác.
