イーサリアム最大のMEVボットがハニーポットの罠に嵌まり約750万ドルの資産を流出

イーサリアム(Ethereum)ネットワーク上で最も有名なMEV(最大抽出可能価値)ボットである「JaredFromSubway」が、巧妙に仕組まれたオンチェーンのハニーポット(おとり)トラップにより、約750万ドル相当の暗号資産を流出させました。セキュリティ企業Blockaidの報告によると、攻撃者はスマートコントラクトの脆弱性を突いたわけではなく、ボットの自動取引ロジックを逆手に取った承認トラップを実行したとされています。これまで分散型取引所の一般ユーザーから多額の利益を上げてきた巨大ボットが、自らの取引ロジックを突かれて巨額の資産を失ったこの出来事は、自動取引システムのセキュリティ設計において重要な教訓となっています。

巧妙に仕組まれた承認トラップの手口

イーサリアム最大のMEVボットがハニーポットの罠に嵌まり約750万ドルの資産を流出

ブロックチェーンセキュリティ企業Blockaidの分析によると、今回のインシデントは一般的なフィッシング詐欺や、スマートコントラクト自体のバグ、あるいは秘密鍵の流出によるものではありません。攻撃者はボットの自動取引システムにおける意思決定ロジックを標的にし、数週間にわたる準備を経て攻撃を実行しました。

攻撃者は、Wrapped Ether(WETH)、USDC、USDTを模倣した66個の偽トークンコントラクトと偽の流動性プール(取引のためにトークンを預け入れる仕組み)を作成しました。これらはボットのアルゴリズムにとって、極めて収益性の高いアービトラージ(裁定取引)の機会に見えるよう設計されていました。

このおとりに騙されたボットは自動的に取引を実行しようとし、攻撃者が管理するヘルパーコントラクトに対してトークンの支出承認(Approve)を行いました。通常の取引であればこの承認は即座に消費されますが、攻撃者は承認が未消費のまま残るような取引ルートを構築していました。攻撃者はこの残された承認を利用して、ボットのコントラクトから本物のWETH、USDC、USDTを引き出し、自身のウォレットへ流出させました。

ブロックチェーン分析企業PeckShieldの追跡によると、流出した資産は1,474.58 WETH、287万USDC、200万USDTに上り、攻撃者はこれらを4,400 ETHに変換した上で、一部をプライバシーミキサーであるTornado Cashへ送金したとされています。

被害額の食い違いとバウンティの提示

セキュリティ企業Blockaidによる公開データでは被害額は約750万ドルと推計されていますが、JaredFromSubwayの運営者とされるアカウントはSNS上で、実際の被害額は約1,500万ドルに達すると主張しています。

この運営者はハッカーに対し、全額の安全な返還を条件に100万ドルのバウンティ(報奨金)を提示し、秘密裏に連絡を取るよう呼びかけています。被害額の食い違いに関する具体的な要因については、現時点で公的な説明はなされていません。

イーサリアム市場における影響と出来事の意義

JaredFromSubwayは、イーサリアム上でサンドイッチ攻撃と呼ばれる手法を大規模に実行してきたことで知られる非常に影響力の大きいボットです。サンドイッチ攻撃とは、一般ユーザーの取引を監視し、その取引の直前に買い、直後に売ることで価格差から利益を得る手法であり、一般ユーザーに不利な取引価格を強いるため見えない税金とも呼ばれています。

Cointelegraph Researchの調査によると、2024年11月から2025年10月までの期間にイーサリアム上で記録された毎月6万から9万回のサンドイッチ攻撃のうち、約70パーセントがこのJaredFromSubwayによるものでした。同ボットは取引を最優先で実行させるために莫大なガス代(ネットワーク手数料)を支払っており、一時期はイーサリアムネットワーク上で最大のガス消費源となっていました。

今回の出来事は、これまでネットワーク上の一般ユーザーから多額の利益を吸い上げてきたボットが、自らの自動化されたアルゴリズムの盲点を突かれ、逆に攻撃の標的となった象徴的な事例です。自動取引システムが普及するWeb3業界において、プログラムのロジック自体が持つ脆弱性への対策や、未消費の承認の管理が極めて重要であることを示す警鐘となっています。

ポイント

  • イーサリアム最大のサンドイッチ攻撃ボットが、巧妙に仕組まれたおとり取引により約750万ドルの資産を流出させました。
  • 攻撃はスマートコントラクトのバグやフィッシングではなく、偽のトークンとプールを用いてボットに支出承認を与えさせ、その未消費の承認を利用して資産を引き出す承認トラップという手法が用いられました。
  • 流出した資産はWETH、USDC、USDTであり、攻撃者によってETHに変換された後、一部はすでにTornado Cashへと送金されています。
  • ボットの運営者側は被害額を1,500万ドルと主張し、ハッカーに対して100万ドルのバウンティを提示して資金の返還を求めています。
  • ネットワーク全体のサンドイッチ攻撃の約7割を占めていた巨大ボットが、自らの自動取引ロジックを逆手に取られてハッキングされたことは、自動化システムのセキュリティ設計における新たな課題を浮き彫りにしています。

監修者:Pacific Metaマガジン編集部

Pacific Metaマガジン編集部は、ブロックチェーン領域を中心に、RWA(リアルワールドアセット)、セキュリティトークン(ST)、ステーブルコイン、NFTなどのトークン活用や、AI×ブロックチェーン領域における事業開発・実装に関する情報を発信する編集チームです。株式会社Pacific Metaが、グループ累計260社以上・41カ国以上のプロジェクトを支援してきた知見をもとに、記事の企画・監修を行っています。

ビジネスでの活用から個人の学びまで、ブロックチェーンやトークンに関する情報を、最新動向と実務でのナレッジを踏まえてわかりやすくお届けします。編集部や事業内容の詳細は、公式サイトをご覧ください。

ニュース
ブロックチェーンマガジン by Pacific Meta