MEVボットが自らの仕組みを逆利用される攻撃手法
イーサリアムのブロックチェーン上で活動していた悪名高いMEVボット「jaredfromsubway.eth」が、750万ドルを超える資金を失う事態に陥った。セキュリティ企業Blockaidによると、この被害は従来のスマートコントラクトの脆弱性やフィッシング詐欺ではなく、ボット自身の自動取引ロジックを利用した巧妙な攻撃だったという。
🚨Community Alert:
Blockaid Exploit Detection system detected an exploit involving the @jaredsmev MEV bot on Ethereum.
The incident resulted from attacker-controlled contracts tricking an automated MEV execution system into granting token approvals, later used to drain funds.…— Blockaid (@blockaid_) 2026年6月20日
攻撃者は数週間にわたって、WETH(ラップドイーサ)やUSDC、USDTといった実際の資産に見せかけた偽のトークンコントラクトと偽の流動性プール(DEX上に存在する資産)を展開した。MEVボットは有利な取引機会だと判断し、攻撃者が管理するコントラクトに対してトークン使用権(承認)を付与。その承認は後に悪用され、ボットが保有するWETHやステーブルコインが引き出された。盗まれた資金の一部はTornado Cashというミキサーサービスを経由して資金洗浄されている。
年間6000万ドルの被害をもたらすサンドイッチ攻撃の象徴
jaredfromsubway.ethは「サンドイッチ攻撃」で悪名高いボットだった。サンドイッチ攻撃とは、ユーザーが実行しようとしている取引をメモリプール内で検知し、その前に自分の取引を挿入(フロントラン)してから、ユーザーの取引を実行させ、その後すぐに売却する手法である。結果としてユーザーは悪い価格で取引させられ、ボットが差額を利得する仕組みだ。
このボットはイーサリアムのサンドイッチ攻撃全体の約70%を占めており、月間6万〜9万件のサンドイッチ攻撃を実行していた(2024年11月〜2025年10月調査)。年間でイーサリアムユーザーに約6000万ドルの被害をもたらしていた。2023年初頭から活動を開始し、イーサリアムのエコシステムにおける有害なMEV(最大抽出可能価値)の象徴的存在だったのだ。かつてはイーサリアム共同創設者ヴィタリック・ブテリンの小さな取引すら対象にしており、114万ドルをかけて4ドルの利得を得ようとするほど機械化されていた。
自動化システムの脆弱性が露呈した皮肉な逆転
今回の事件の最も興味深い点は、その皮肉性にある。長年にわたってユーザーから価値を搾取していたボットが、同じく自動化された意思決定システムを持つターゲットになったということだ。攻撃者は機械的・パターンベースの取引判断を綿密に研究し、そのルールを逆利用した。ボットが有利だと判断する条件を満たす取引を意図的に作成し、ボット自身の自動承認機能を悪用したのである。
このケースは、単なる一ボットの被害に留まらない意味を持つ。産業化されたMEV活動の規模と危険性を浮き彫りにしている。高速で効率的に機能するシステムは、その仕組みが理解されると容易に攻撃対象になり得ることを示しているのだ。ブロックチェーン上での自動化が進むほど、その自動化ロジック自体が新たな攻撃面となることが明白になった。サンドイッチ攻撃がユーザーに対する略奪的行為であることは変わらないが、同時に超高速で動作する自動システムも、より洗練された攻撃には脆弱であることが証明されたのである。
