O bot MEV Jaredfromsubway.eth, conhecido por ataques sandwich no Ethereum, foi drenado em mais de US$ 7,5 milhões após aprovar rotas falsas criadas por um atacante. O caso expõe um risco pouco discutido: sistemas automatizados de DeFi também podem ser manipulados quando confiam demais em sinais de lucro.
Um dos bots MEV mais conhecidos do Ethereum foi drenado em mais de US$ 7,5 milhões depois que um atacante usou a própria lógica automatizada do sistema contra ele. Segundo o CoinDesk, o alvo foi o Jaredfromsubway.eth, endereço associado a uma das operações de sandwich mais observadas da rede.
O ataque não foi descrito como vazamento de chave privada, phishing tradicional ou falha direta no contrato da vítima. A empresa de segurança Blockaid afirmou que contratos controlados pelo atacante enganaram o sistema automatizado do bot para aprovar gastos de tokens. Essas permissões abertas foram usadas depois para retirar WETH, USDC e USDT.
O episódio importa porque toca em uma área sensível do mercado: a infraestrutura invisível que captura valor em negociações on-chain. Bots de MEV operam em alta velocidade, monitorando transações pendentes e tentando lucrar com a ordem em que swaps entram no bloco. Quando a automação falha, o prejuízo pode aparecer em minutos.
Como a armadilha funcionou
De acordo com relatos publicados por CoinDesk e Crypto.news, o atacante preparou o terreno ao longo de semanas. A estratégia teria usado tokens falsos e pools de liquidez falsas que pareciam oportunidades lucrativas para um robô treinado para encontrar rotas de arbitragem e sandwich.
Em testes iniciais, as aprovações eram usadas de forma imediata. Depois, o desenho das rotas mudou: o bot passou a conceder permissões que não eram gastas nem revogadas na hora. Isso deixou contratos auxiliares controlados pelo atacante com autorização para movimentar fundos posteriormente.
Na varredura final, essas permissões teriam permitido a retirada de wrapped ether e stablecoins. Parte dos fundos, segundo dados on-chain citados nas apurações, foi encaminhada para o Tornado Cash, mixer que costuma aparecer em movimentações de ativos roubados.
A conta pública ligada ao Jaredfromsubway.eth chegou a falar em perda de US$ 15 milhões e ofereceu recompensa de US$ 1 milhão pela devolução integral. A estimativa destacada por Blockaid e repercutida pela imprensa, porém, ficou em torno de US$ 7,5 milhões. Essa diferença ainda não foi totalmente esclarecida.
Por que o caso pesa para usuários de DeFi
Sandwich attacks não são hacks no sentido clássico. Eles acontecem quando um bot identifica uma transação pendente, compra antes dela, deixa o usuário executar a troca em condição pior e vende logo depois. Na prática, é uma forma de extrair valor de quem usa DEXs, principalmente em swaps com baixa proteção contra slippage.
O Jaredfromsubway.eth virou símbolo desse tipo de operação porque concentrava uma parcela relevante da atividade de sandwich no Ethereum. O caso agora inverte a narrativa: uma estrutura desenhada para explorar padrões de mercado acabou explorada por padrões falsos, montados para parecerem lucrativos.
Para o usuário comum, a lição não é apenas que “um bot perdeu dinheiro”. O alerta maior é sobre permissões abertas, rotas opacas e automação sem checagens suficientes. O mesmo tema já aparece em outros incidentes de DeFi, como mostramos na matéria sobre hacks de US$ 840 milhões em bridges e protocolos e no caso em que a Aave liderou o resgate após o ataque à KelpDAO.
Automação barata, risco caro
O ataque também conversa com uma tendência mais ampla: ferramentas automatizadas estão ficando mais baratas e mais rápidas, tanto para defesa quanto para exploração. O CriptoBR mostrou recentemente que a IA está barateando auditorias e mudando a segurança cripto, mas a mesma lógica de escala pode ampliar ataques contra sistemas que tomam decisões sem revisão humana.
No caso do Jaredfromsubway.eth, o atacante não precisou convencer uma pessoa a clicar em um link. Bastou construir um ambiente falso que convencesse a máquina a fazer o que ela já fazia todos os dias: perseguir uma rota aparentemente lucrativa.
Esse é o ponto central para o mercado. Quanto mais capital fica sob controle de bots, carteiras automatizadas e contratos com permissões persistentes, maior fica o custo de uma suposição errada. Em DeFi, velocidade é vantagem competitiva, mas também reduz o tempo disponível para perceber que a oportunidade era uma armadilha.
A curto prazo, o incidente não muda o funcionamento do Ethereum. A rede seguiu processando blocos normalmente, e o prejuízo ficou concentrado no operador do bot. Ainda assim, o caso deve reacender discussões sobre MEV, proteção de usuários em DEXs e limites de automação em estratégias que movimentam milhões de dólares sem pausa.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
