イーサリアム上で最も活発なMEV(最大抽出可能価値)ボットの一つである「jaredfromsubway.eth」が、2026年6月20日に攻撃を受け、約750万ドル(約12億円)相当の暗号資産を奪われました。セキュリティ企業のBlockaid(ブロックエイド)が報告したもので、ボットの自動取引ロジックを逆手に取った「ハニーポット」と呼ばれる手法が用いられました。この出来事は、DeFi(分散型金融)エコシステムにおける自動取引プログラムのセキュリティ設計に新たな課題を突きつけています。
攻撃の概要と「ハニーポット」の手口
2026年6月20日、イーサリアム上で最も活発なMEVボットの一つである「jaredfromsubway.eth」が攻撃を受け、約750万ドル(1ドル=160円換算で約12億円)相当のWETH、USDC、USDTを失いました。
セキュリティ企業のBlockaidの報告によると、今回の攻撃は秘密鍵の漏洩や、広く利用されているDeFiプロトコルの欠陥によるものではありません。攻撃者は数週間をかけて、主要な暗号資産を模した偽のトークンと流動性プールを多数展開し、ボットに取引の好機と誤認させる「ハニーポット(おとり)」を仕掛けました。
この偽の取引は、MEVボットが狙うような利益の出る取引に見えるように設計されていました。jaredfromsubway.ethは、攻撃者が制御するヘルパー契約(補助的なスマート契約)がボットに代わってトークンを消費することを承認してしまい、攻撃者はこの権限を利用して資金を引き出したとされています。
被害に遭った「jaredfromsubway.eth」の影響力
jaredfromsubway.ethは、2023年初頭からイーサリアム上で稼働している非常に著名なボットです。
MEVボットとは、ブロックチェーン上のトランザクションを監視し、大規模な買い注文の直前に割り込んで買い、直後に売りを注文することで利益を自動的に得るプログラムです。この手法は「サンドイッチ攻撃」と呼ばれています。
同ボットは、イーサリアム上で発生するサンドイッチ攻撃の約7割に関与しているとされており、2026年5月にはイーサリアムの共同創設者であるヴィタリック・ブテリン(Vitalik Buterin)氏の少額取引にまで割り込み、コミュニティの注目を集めていました。
業界にとっての重要性とセキュリティへの影響
今回の事件は、ブロックチェーン業界における自動取引ボットのセキュリティ対策において重要な意味を持ちます。
従来のハッキングや資産流出の多くは、スマート契約のバグ(プログラムの不具合)や、秘密鍵の管理不備が原因でした。しかし、今回のハニーポット攻撃は、スマート契約そのものの脆弱性を突いたものではなく、ボットが利益を追求するための「意思決定ロジック」そのものを逆手に取ったものです。
MEVボットはDeFiエコシステムにおいて非常に大きな取引量と流動性を占めていますが、他者の取引を監視して自動で追従する仕組みである以上、仕掛けられた罠を判別することが技術的に難しいとされています。今回の事例は、自動化された取引システムが抱える独自のセキュリティリスクを浮き彫りにし、今後のボット開発やDeFiプロトコルの安全な設計において、新たな対策が求められる契機になると見られます。
ポイント
- イーサリアム上で最も活発なMEVボット「jaredfromsubway.eth」が、2026年6月20日に攻撃を受け、約750万ドル相当の資産を奪われました。
- 攻撃の手口は、偽のトークンとプールを用いた「ハニーポット」であり、ボットに取引の承認権限を与えさせて資金を引き出す巧妙な手法でした。
- 被害に遭ったボットはイーサリアムにおけるサンドイッチ攻撃の約7割に関与しており、2026年5月にはヴィタリック・ブテリン氏の取引に割り込んだことでも知られていました。
- スマート契約の脆弱性や秘密鍵の漏洩ではなく、自動取引プログラムの判断ロジックそのものが攻撃対象となった点で、今後のDeFiセキュリティにおいて注目されます。