Az Ethereum hálózat egyik leghírhedtebb kereskedési automatája, a jaredfromsubway.eth bot mostanra maga is áldozattá vált. Valaki – vagy valakik – 7,5 millió dolláros csapdát állítottak neki, és a bot beleesett. Az irónia szinte kézzel fogható: ugyanolyan módszerrel verték át, mint amilyennel ő évek óta szedi az áldozatokat.
Ki volt ez a bot egyáltalán?
A jaredfromsubway.eth nem egy átlagos arbitrázsbot volt. Az Ethereum mempool egyik legtermékenyebb ragadozójaként tartották számon, amely főként sandwich támadásokat hajtott végre — vagyis közrefogta az ártatlan felhasználók tranzakcióit, manipulálta az árakat, majd zsebre tette a különbözetet.
A számok önmagukért beszélnek. Becslések szerint a bot összes tranzakciójának közel 70%-a ilyen sandwich támadás volt. Éves szinten kb. 60 millió dollárnyi veszteséget okozott a DeFi kereskedőknek — olyanoknak, akik egyszerűen csak tokeneket akartak venni vagy eladni, és nem sejtették, hogy valaki az ügyletük elé és mögé ékelődik milliszekundumok alatt.
A DeFi közösségben a bot neve egyfajta rémképpé vált. Tudták, hogy létezik, látták a nyomait a láncon, de megállítani nem tudták.
Mi az a sandwich támadás?
Gyorsan tisztázzuk, mert a történet megértéséhez elengedhetetlen. Amikor valaki egy decentralizált tőzsdén (pl. Uniswap) tokent vásárol, a tranzakció egy rövid ideig a mempoolban várakozik, mielőtt bekerülne a blokkba. Ez az az ablak, ahol a botok lecsapnak.
- A bot észleli az áldozat vételi megbízását
- Előre vásárol (frontrun) — magasabb gas díjjal, hogy hamarabb kerüljön be a blokkba
- Az áldozat tranzakciója ekkor magasabb áron teljesül
- A bot azonnal elad (backrun) — és zsebre teszi a különbözetet
Az áldozat rosszabb árat kap, a bot profitál. Technikailag nem illegális, etikailag viszont erősen vitatható — a legtöbb DeFi-felhasználó egyszerűen lopásként éli meg.
A csapda: counter-MEV a gyakorlatban
A counter-MEV lényege az, hogy a támadó logikáját fordítják ellene. Nem védekeznek ellene — hanem csaliként használják magát a botot.
Ebben az esetben valaki rendkívül gondosan megtervezett egy csapdát. Hamis tokeneket és mesterségesen kialakított likviditási poolokat hoztak létre, amelyek kívülről tökéletesen valódinak néztek ki. A konstrukció pontosan arra volt optimalizálva, hogy a jaredfromsubway.eth botot aktiválja — hogy az automatikusan „csapjon le” a látszólag nyereséges lehetőségre.
A bot harapott. 7,5 millió dollárt pumpált bele a csapdába, amelyből aztán egy fillért sem látott viszont. A hamis poolok és tokenek úgy voltak bekódolva, hogy a kivétel — a profit realizálása — fizikailag lehetetlen legyen a bot számára, miközben a betett összeg elvész.
A Blockaid biztonsági cég elemzői szerint a támadás végrehajtója mélyen ismerte a bot viselkedési mintáit. „Ez nem egy szerencsés véletlen volt” — nyilatkozták a szakértők. „Valaki alaposan tanulmányozta, hogyan dönt a bot, milyen paraméterek aktiválják, és arra épített egy precízen kalibrált csapdát.”
A pénz útja: Tornado Cash árnyéka
A történetnek van egy további rétege is. A kivont összeg egy részét Tornado Cash-en keresztül mosták el — a régóta ismert, szankcionált Ethereum-alapú mixeren, amely az anonimizálás szinonimájává vált a kriptótérben. Ez önmagában nem bizonyít semmit a támadó kilétéről, de jelzi: aki a csapdát felállította, nem akarta, hogy visszakövessék.
A Tornado Cash 2026 óta OFAC-szankciók alatt áll az Egyesült Államokban, használata komoly jogi kockázatokat hordoz. Ettől függetlenül a láncon látható, hogy az összeg egy része erre az útvonalra terelődött.
Szimpatizáljunk-e a bottal?
Ez a kérdés kettészakította a kripto-közösséget. David Gokhshtein, az egyik ismert kriptókommentátor fogalmazta meg a legtöbb ember érzését: etikailag nehéz ünnepelni egy hack-et vagy egy exploitot — de érzelmileg nehéz nem örülni, ha a „ragadozó” maga is áldozattá válik.
Ez az ambivalencia teljesen érthető. A jaredfromsubway.eth bot mögött álló személy vagy személyek éveken át, módszeresen károsítottak meg hétköznapi DeFi-felhasználókat. Nem egy-egy alkalommal, hanem a tranzakciók 70%-ában, folyamatosan. A 60 millió dolláros éves kár nem elvont szám — mögötte konkrét emberek állnak, akik rosszabb áron jutottak hozzá a tokeneikhez anélkül, hogy erről tudtak volna.
Ugyanakkor a counter-MEV támadás sem egy igazságszolgáltatási aktus volt. A pénz nem kerül vissza az eredeti áldozatokhoz. Valaki egyszerűen ügyesebben alkalmazta ugyanazt a ragadozói logikát — és most gazdagabb lett 7,5 millió dollárral.
Mit mutat ez a DeFi biztonságáról?
Néhány fontos tanulság kristályosodik ki ebből az esetből:
- Semmilyen automatizált rendszer nem sebezhetetlenek. Hiába fut egy bot sikeresen évekig — ha a viselkedési mintái kiszámíthatók, valaki előbb-utóbb kihasználja őket.
- A mempool átláthatósága kétélű fegyver. Ugyanaz az átláthatóság, ami lehetővé teszi a sandwich támadásokat, azt is lehetővé teszi, hogy valaki csapdát állítson a csalinak.
- A smart contract kód visszafordíthatatlan. Ha a logika hibás vagy kihasználható, nincs „visszavonás” gomb — a 7,5 millió dollár elveszett.
- A MEV-ökoszisztéma egyre kifinomultabb. A counter-MEV mint stratégia korábban inkább elméleti volt; ez az eset azt mutatja, hogy valódi, tőkeerős szereplők kezdik alkalmazni.
Összefoglalás
A jaredfromsubway.eth bot esete 2026-ban egy korszak szimbolikus lezárásának is tekinthető. Éveken át az egyik legismertebb „szürkezónás” Ethereum-szereplő volt: technikailag legális, etikailag megkérdőjelezhető, pénzügyileg rendkívül sikeres. Most 7,5 millió dollárt bukott egyetlen, gondosan felépített csapdában.
Az igazi tanulság nem az, hogy „a gonosz elnyerte méltó büntetését” — mert a counter-MEV támadó sem Robin Hood. Az igazi tanulság az, hogy a DeFi harcmezeje egyre kifinomultabb, és a résztvevők — botok és emberek egyaránt — folyamatosan egymás gyengeségeit keresik. Ebben a környezetben a hétköznapi felhasználó védelme továbbra is komoly kihívás marad, és a Blockaid-hez hasonló biztonsági cégek munkája egyre fontosabb lesz.
Ha pedig valaha Uniswap-on vagy más DEX-en kereskedtél, és az ár kicsit rosszabbnak tűnt a vártnál — lehet, hogy te is találkoztál már Jared munkájával. Csak akkor még nem tudtad a nevét.
