Bot MEV Legendaris “JaredFromSubway” Kena Retas, Kripto Senilai $15 Juta Ludes

Bot MEV (Maximal Extractable Value) paling agresif dan terkenal di jaringan Ethereum, JaredFromSubway, dilaporkan mengalami kerugian besar hingga $15 juta (sekitar Rp245 miliar). Insiden ini terjadi setelah seorang penyerang berhasil memanipulasi logika pendeteksi peluang transaksi pada bot tersebut dengan memanfaatkan token dan kolam likuiditas (liquidity pool) palsu.

Eksploitasi massal ini pertama kali dideteksi oleh perusahaan keamanan blockchain Blockaid. Tak lama setelah investigasi berjalan, pihak pengelola JaredFromSubway mengonfirmasi bahwa penyerang sengaja menjebak sistem otomatisasi mereka agar memberikan persetujuan (approval) kontrak pintar kepada pihak yang salah.

Manipulasi Logika dan Skema Serangan Kontak Pintar

Sebagai bot MEV otomatis, JaredFromSubway bekerja dengan memindai rute perdagangan di blockchain untuk mencari peluang transaksi yang menguntungkan secara finansial. Penyerang memanfaatkan karakteristik ini dengan menyebarkan serangkaian kontrak pintar manipulatif yang dirancang agar terlihat seperti peluang arbitrase atau MEV bernilai tinggi.

Skenario pembobolan ini dilakukan secara terencana dan bertahap melalui langkah-langkah berikut:

• Uji Coba Awal: Penyerang mengirimkan transaksi skala kecil yang tampak tidak berbahaya untuk memetakan dan mengonfirmasi rutinitas respons otomatis dari bot.
• Pengumpulan Izin Akses (Allowance): Saat bot menganalisis rute palsu tersebut dan bersiap mengeksekusi perdagangan, bot secara otomatis memberikan persetujuan token ERC-20 kepada kontrak pintar yang dikendalikan penyerang.
• Penguncian Rute: Penyerang memodifikasi rute transaksi di tengah jalan agar izin akses (allowance) yang sudah diberikan oleh bot tidak langsung kedaluwarsa atau dicabut kembali setelah transaksi selesai. Melalui taktik ini, penyerang berhasil mengumpulkan izin penarikan hingga 92,1614 Wrapped Ethereum (WETH).
• Kuras Dana: Setelah mengumpulkan izin akses yang valid dalam jumlah besar, penyerang mengeksekusi fungsi transferFrom untuk menguras aset WETH, USDC, dan USDT langsung dari dompet kontrak utama JaredFromSubway.

Ironi Sanksi Sosial bagi Operasi “Sandwich Attack”

Operasi JaredFromSubway merupakan salah satu entitas privat terbesar di ekosistem Ethereum yang terkenal karena taktik perdagangan agresifnya yang disebut sandwich attack. Melalui metode ini, bot akan mendeteksi transaksi pengguna ritel yang masih tertahan di antrean (mempool), lalu menempatkan order beli tepat sebelum transaksi korban masuk, dan langsung menjualnya kembali tepat setelah transaksi korban selesai demi meraup keuntungan dari selisih harga.

Praktik ini sangat kontroversial di komunitas kripto karena sering kali merugikan pengguna biasa dengan memberikan harga eksekusi yang lebih buruk (slippage tinggi). Kejadian retasan ini pun dianggap oleh sebagian komunitas sebagai bentuk karma instan bagi operasi bot yang dinilai parasit tersebut.

Hingga saat ini, pihak JaredFromSubway masih berupaya memulihkan dana yang hilang. Awalnya, mereka menawarkan hadiah (bounty) sebesar $3 juta kepada peretas jika seluruh dana dikembalikan. Karena tidak mendapat respons, tawaran dinaikkan menjadi $7,5 juta—di mana peretas boleh menyimpan 50% dari total dana curian, sementara $1 juta akan dialokasikan untuk komunitas. Selain itu, mereka dikabarkan sedang bernegosiasi dengan kelompok peretas white-hat untuk melacak sisa dana $15 juta tersebut, meski belum ada kesepakatan resmi yang tercapai.