サンドイッチ攻撃で知られるMEVボット、逆攻撃で750万ドル超流出

イーサリアム上で悪名高いサンドイッチ攻撃ボットとして知られる「Jaredfromsubway.eth」が、750万ドル超を奪われた。分散型金融（DeFi）利用者の取引の前後に注文を差し込み利益を稼いできた自動化ボットが、今回は攻撃者が仕組んだ偽の取引構造にはまり込んだ。

6月21日に暗号資産専門メディアのコインテレグラフが伝えたところによると、セキュリティー企業ブロックエイド（Blockaid）は6月20日、Jaredfromsubway.ethが攻撃者の管理下にあるコントラクトにだまされ、トークンの使用権限を付与したと明らかにした。その後、この権限が資金流出に悪用されたという。

ブロックエイドは「今回の事案は典型的なフィッシング攻撃でも、被害コントラクトにある一般的なスマートコントラクトの脆弱性でもない」と説明した。

Jaredfromsubway.ethはイーサリアムで最も成功したMEVボットの一つに数えられる。MEVはブロックチェーン上で未確定の取引を監視し、取引順序を調整して利益を得る手法だ。サンドイッチ攻撃は、利用者の取引直前に先回りして買い、取引直後に売却して価格差益を稼ぐ代表的なMEV戦略を指す。

コインテレグラフのリサーチによると、イーサリアムではサンドイッチ攻撃によるトレーダーの損失が年6000万ドル前後に上ると推計される。2025年11月から2026年10月にかけては月6万〜9万件のサンドイッチ攻撃が発生し、このうち約70%がJaredfromsubway.ethと関連していた。

今回の攻撃は、MEVボットの自動化された判断構造を狙ったものだった。ブロックエイドのラズ・ニブ最高技術責任者（CTO）はコインテレグラフに「今回の事件は、MEVボットが使う自動化された意思決定ロジックを狙った逆MEVハニーポット攻撃だ」と指摘した。

攻撃者は数週間にわたり、ラップドイーサ（WETH）、USDC、テザー（USDT）と似た名称やインターフェースを持つ偽トークンのコントラクト66件を展開した。さらに偽の流動性プールをつくり、MEVボットには収益性の高い取引に見えるよう仕組んだ。

Jaredfromsubway.ethはこの取引を捉え、通常通りに収益機会を追う過程で、攻撃者が管理するコントラクトに実際の資金を使える権限を与えたという。ニブCTOは「皮肉にも、この過程でボットは攻撃者に数百万ドル規模の金庫の鍵を渡した格好だ」と語った。

その後、攻撃者は単一の取引で66件のバックドアを呼び出し、このアドレスにあったETH、USDC、USDTをすべて引き出した。被害額は750万ドル超に達した。

今回の事案は、MEVボットの自動化戦略も逆に攻撃対象になり得ることを示した。収益機会を自動追跡するボットが偽の流動性や偽装トークンにさらされれば、一般利用者だけでなく高度なMEVシステムでも大規模な損失を被りうることが浮き彫りになった。

暗号資産投資家のデービッド・ゴクシュタイン氏は「誰もこの出来事を祝うべきではない」と述べつつ、「このボットにサンドイッチ攻撃を受けたことがあるなら、この知らせに腹を立てることはないだろう」と付け加えた。