Kasus JaredFromSubway ini bukan sekadar insiden reking biasa di DeFi, melainkan sebuah babak baru dalam pergeseran peta "rantai makanan" di Ethereum. Selama ini, MEV bot selalu dianggap sebagai predator puncak di mempool yang memanfaatkan simulasi tingkat tinggi buat nyopet cuan bebas risiko dari para trader retail. Namun, serangan yang bikin operator JaredFromSubway boncos lebih dari $15 juta ini membuktikan satu hal: otomatisasi tanpa adanya isolasi execution context yang matang itu sama saja dengan bunuh diri.
Di bawah ini adalah bedah tuntas secara teknikal mengenai eksploit tersebut, bagaimana arsitektur honey pot ini dirancang, dan contoh code rentan yang mengubah bot trading super canggih menjadi donatur likuiditas gratis.
Anatomi Vulnerability: Di Mana Logika Algoritma Jared Mulai Blunder?
Pada umumnya, MEV bot yang doyan melakukan sandwich attack sangat bergantung pada off-chain simulation engine (biasanya memakai client Geth/Erigon yang sudah dimodifikasi). Sebelum menembakkan bundle lewat Flashbots atau Builder API, si bot bakal melakukan "running" lokal untuk melihat state EVM. Kalau hasil simulasi lokalnya menunjukkan net profit berupa WETH, barulah rangkaian transaksi tersebut dikirim ke block.
Para peretas memanfaatkan kelemahan mendasar dari logika ini: yaitu eksekusi dinamis dari bytecode yang tidak terverifikasi.
Bot JaredFromSubway melakukan optimasi rute demi menekan biaya gas fee. Supaya tidak perlu men-deploy smart contract baru di setiap trade, bot ini memanfaatkan contract router permanen yang menampung akumulasi likuiditas dan memegang akses *infinite approvals* ke berbagai pool Uniswap V2/V3. Si bot beroperasi dengan asumsi naif bahwa token ERC-20 dari luar itu aman-aman saja, asalkan perhitungan matematika pada balance pool sebelum dan sesudah swap tetap sinkron.
Nah, para attacker menyabotase asumsi ini dengan membuat token umpan yang fungsi transfer/transferFrom-nya sudah disisipi payload siluman. Begitu si bot memicu fungsi swap di pool, kendali eksekusi di dalam EVM langsung berpindah ke tangan code token beracun tersebut. Bukannya memperbarui mapping balance seperti token normal, contract penipu ini malah melakukan low-level call balik ke contract router si bot, memaksa bot untuk menandatangani transaksi approve atas aset-aset krusial (**WETH**, **USDC**, **USDT**) ke alamat si hacker. Simulator off-chain milik bot gagal mendeteksi red flag ini karena pas di tahap uji coba lokal, balance tokennya kelihatan bertambah, sementara eksekusi kuras aset aslinya baru terjadi di langkah berikutnya yang telanjur dianggap aman oleh si bot.
Kronologi Eksploitasi Krok demi Krok
1. Setup Infrastruktur dan Deploy Token Beracun
Komplotan hacker men-deploy smart contract token gadungan dan menyuntikkan likuiditas ke pool. Di dalam token tersebut, ditanam sebuah custom logic yang hanya bakal aktif kalau transaksi tersebut dipicu oleh alamat contract router milik JaredFromSubway yang sudah mereka incar.
2. Memasang Umpan (Baiting)
Hacker melemparkan order beli dalam jumlah jumbo untuk token umpan mereka sendiri ke public mempool. Bagi algoritma si bot, ini terlihat seperti mangsa sandwich yang sangat lezat: likuiditas pool-nya tipis, slippage sudah pasti tinggi, dan potensi cuan dari frontrun dipastikan melimpah.
3. Pembajakan Eksekusi (The Hijacking)
Bot langsung mendeteksi transaksi tersebut, menyusun bundle, dan menyuap validator lewat priority fee yang tinggi agar bisa masuk di urutan paling pertama.
[Block Ethereum] ├── Transaksi 1 (Frontrun): Bot beli token palsu -> Payload berbahaya aktif -> Memaksa eksekusi approve() ├── Transaksi 2 (Korban): Hacker mengeksekusi swap yang dijadwalkan └── Transaksi 3 (Backrun): Bot mencoba nge-dump token (sudah tidak ada gunanya lagi)
Tepat saat Transaksi 1 menghantam pool, contract token langsung membajak alur eksekusi (Execution Flow). Dengan memanfaatkan celah pada arsitektur router bot yang percaya buta pada token yang ditransaksikannya, contract milik hacker memaksa bot menjalankan perintah:
asset.approve(attacker_address, type(uint256).max).4. Pengurasan Wallet via transferFrom
Begitu mengantongi izin penuh atas dana utama milik bot, hacker tidak mau membuang waktu menunggu block selesai. Dalam rangkaian serangan yang sama (atau langsung di block berikutnya memakai atomic bundle), contract berbahaya tersebut memanggil fungsi
transferFrompada contract **WETH**, **USDC**, dan **USDT**. Alhasil, total lebih dari $15 juta ludes dikuras dari seluruh alamat terafiliasi JaredFromSubway, termasuk satu kali sedotan masif senilai $7.5 juta.
Analisis Komparatif: Sandwich Klasik vs Eksploitasi Honey Pot "Jared"
| Parameter | Sandwich Klasik (Jared) | Serangan Balik Hacker (Honey Pot) |
|---|---|---|
| Target Serangan | User retail (market order) | MEV Bot (automated router) |
| Alat Utama | Manipulasi harga lewat urutan transaksi | Injeksi malicious bytecode lewat ERC-20 |
| Vektor Celah | Toleransi slippage yang tinggi dari trader | Absennya isolasi hak akses (Approvals) pada contract bot |
| Hasil Akhir | Bot menyikat micro-spread (0.1% - 5%) | Hacker menguras habis seluruh modal likuiditas operasional bot |
