Im Zentrum des Vorfalls steht die Art, wie JaredFromSubway Handelsmöglichkeiten automatisch bewertet und ausführt. Laut Blockaid wurden Verträge bereitgestellt, die gezielt so gestaltet waren, dass sie für das System des Bots wie gewinnbringende MEV-Chancen wirkten. Daraufhin analysierte der Bot die vorgeschlagenen Routen und bereitete Transaktionen für deren Ausführung vor.

Diese Abläufe führten dazu, dass der Bot ERC-20-Freigaben an Verträge erteilte, die unter Kontrolle des Angreifers standen. JaredFromSubway erklärte, der Angreifer habe dafür gefälschte Pools und Token eingesetzt, um den Bot zur Genehmigung von Hilfsverträgen zu verleiten. Die eigentliche Schwachstelle lag demnach nicht in einem einzelnen Diebstahlsvorgang, sondern in der Manipulation der Opportunity-Erkennung und der anschließenden Freigabelogik.

Blockaid zufolge ging der Angreifer planvoll vor. Frühe Transaktionen dienten demnach als harmlose Tests, um die Reaktionsmuster des Bots zu bestätigen. Später änderte der Angreifer die Route so, dass die erteilte Freigabe nach der Autorisierung weder verbraucht noch widerrufen wurde.

Auf diese Weise sammelte der Angreifer gültige Ausgabeberechtigungen, ohne sie sofort einzusetzen. Nach den vorliegenden Angaben erreichte die genehmigte Summe für einen vom Angreifer kontrollierten Hilfsvertrag bis zu 92,1614 WETH. Erst danach wurden die offenen Genehmigungen genutzt, um Vermögenswerte aus dem Vertrag des Bots abzuziehen.

Abgezogen wurden schließlich WETH, USDC und USDT über die Funktion transferFrom. Der gesamte Verlust beläuft sich laut Quelltext auf 15 Millionen Dollar. JaredFromSubway reagierte zunächst mit dem Angebot einer Prämie von 3 Millionen Dollar für die vollständige Rückgabe der gestohlenen Mittel und stellte in Aussicht, dann keine weiteren Schritte zu unternehmen.

Nachdem darauf keine Antwort einging, erhöhte JaredFromSubway das Angebot auf 7,5 Millionen Dollar für die Rückgabe von lediglich 50 Prozent der gestohlenen Summe. Weitere 1 Million Dollar sollen an die Community gehen. Zudem verhandelt JaredFromSubway nach eigenen Angaben mit „einer White-Hat-Hackergruppe“ über die gestohlenen 15 Millionen Dollar; eine bestätigte Einigung gibt es bislang nicht.

JaredFromSubway ist eine private MEV-Operation, deren Quellcode nicht öffentlich verfügbar ist. Die Operation gilt als eine der aggressivsten und sichtbarsten „Sandwich“-Bot-Aktivitäten auf Ethereum. Solche Bots suchen auf Ethereum und anderen Blockchains in hoher Geschwindigkeit nach Möglichkeiten, aus Reihenfolge und Timing von Transaktionen Profit zu ziehen, bevor diese in einen Block aufgenommen werden.

Bei einem Sandwich-Angriff erkennt der Bot einen ausstehenden Handel eines Nutzers, platziert unmittelbar davor eine Kauforder und verkauft direkt danach wieder. Der Gewinn entsteht durch die Preisbewegung, die durch die Transaktion des betroffenen Nutzers ausgelöst wird. Der Quelltext beschreibt diese Praxis als umstritten, weil sie regulären Händlern oft schlechtere Preise beschert und zugleich Gewinne für den Betreiber des Bots erzeugt.