Kripto piyasasının en bilinen MEV botlarından Jaredfromsubway.eth, cumartesi günü gerçekleşen saldırıda 7,5 milyon dolardan fazla varlık kaybetti. Olayın, botun yıllardır yüksek kazanç sağladığı otomatik işlem altyapısının manipüle edilmesiyle ortaya çıktığı aktarıldı.
Saldırının işleyişi
Blokzincir güvenlik şirketi Blockaid’e göre saldırgan, Jaredfromsubway.eth’in otomatik MEV yürütme sistemini yanıltan kendi kontrolündeki sözleşmeleri devreye aldı. Bu yapı sayesinde bot, daha sonra kötüye kullanılan token harcama izinleri verdi ve fonlar bu izinler üzerinden çekildi.
Blockaid, olayın klasik bir oltalama saldırısı ya da doğrudan mağdur sözleşmedeki geleneksel bir akıllı sözleşme açığı olmadığını belirtti.
MEV, yani azami çıkarılabilir değer, blokzincirde henüz kesinleşmemiş işlemleri izleyip sıralamalarını değiştirerek gelir elde etmeye dayanan bir yöntem olarak biliniyor. Jaredfromsubway.eth de bu alanda öne çıkan botlardan biri. Özellikle merkeziyetsiz finans kullanıcıları açısından bu yapıların zaman zaman ek maliyet yarattığı değerlendiriliyor.
Mini sözlük: MEV, blok üreticileri ya da botların, işlemleri blok içine yerleştirme ve sıralama gücünden ek gelir çıkarması anlamına gelir. Sandwich saldırısı ise bir kullanıcının işlemi öncesi ve sonrasına işlem yerleştirilerek fiyatın kullanıcı aleyhine oynatıldığı bir yöntemdir.
Sahte varlıklar ve açık kalan izinler
Blockaid’in aktardığına göre saldırgan, sahte Wrapped Ether, sahte USDC ve sahte USDt rotalarıyla birlikte sahte Cap eşleşmeleri oluşturdu. Bu düzenek, botun karlı işlem fırsatı gördüğünü sanmasına yol açtı. Sistem de buna karşılık, saldırganın kontrol ettiği yardımcı sözleşmelere gerçek varlıklar üzerinde harcama izni tanıdı.
Normal koşullarda botun verdiği bu izinlerin işlem sırasında tüketildiği belirtiliyor. Ancak bu olayda işlem rotaları, izinlerin açık kalmasını sağlayacak şekilde kurgulandı. Yeterli sayıda izin toplandıktan sonra saldırganın son aşamada WETH, USDC ve USDT varlıklarını transferFrom yöntemiyle bot sözleşmesinden çektiği bildirildi.
Saldırganın, botun mekanizmasını hedef aldığı ve sistemin karlı görünen MEV fırsatlarını algılayarak saldırgan kontrolündeki yardımcı sözleşmelere izin ürettiği ifade edildi.
Önceki veriler ve piyasa tepkisi
Cointelegraph Research tarafından daha önce paylaşılan verilere göre Ethereum ağındaki sandwich saldırıları yatırımcılara yılda yaklaşık 60 milyon dolar zarar verdi. Araştırma, Kasım 2024 ile Ekim 2025 arasında aylık 60 bin ila 90 bin sandwich saldırısı görüldüğünü, bunların yaklaşık yüzde 70’inin Jaredfromsubway.eth ile bağlantılı olduğunu ortaya koydu.
Kripto yatırımcısı ve yorumcu David Gokhshtein de gelişmeye ilişkin değerlendirmesinde, kimsenin bu olaydan memnuniyet duymaması gerektiğini söyledi. Bununla birlikte, daha önce bu botun işlemlerinden olumsuz etkilenen kullanıcıların söz konusu habere üzülmemiş olabileceğini dile getirdi.
