Ünlü MEV botu Jaredfromsubway.eth, Ethereum(ETH) ağında 7,5 milyon dolar kaybetti: Sandviç saldırganı sofistike tuzağa düştü

이therium(ETH) tabanlı, kötü şöhretli MEV botu ‘Jaredfromsubway.eth’ yaklaşık 7,5 milyon dolar (yaklaşık 11,5 milyar won) kaybetti. Saldırgan, botun otomatik al-sat mantığını tersine çevirerek, sistemin kendi eliyle varlıklarını ‘saldırgana teslim etmesini’ sağladı. ‘MEV botu’, ‘sandviç saldırısı’ ve ‘otomatik al-sat’ alanlarında uzmanların dikkatini çeken olay, *otomatikleştirilmiş kâr arayışı* sistemlerinin ne kadar kırılgan olabileceğini yeniden gösterdi.

Bu olay, klasik ‘cüzdan hacki’ ya da ‘phishing’ vakalarından farklı şekilde gelişti. Saldırgan, uzun süredir ‘sandviç saldırıları’ ile eleştirilen Jaredfromsubway.eth’in karar alma yapısını bizzat hedef aldı. ‘Sandviç saldırısı’, belirli bir işlemi mempool’da önceden tespit edip ‘ön alım (front-run)’, ardından mağdurun işlemi, en sonda da ‘arka satış (back-run)’ ile kâr elde etmeye dayanan tipik bir MEV(Maximal Extractable Value) stratejisi. Kullanıcı açısından görünmeyen bir ‘gizli komisyon’ ödenmesine yol açan bu yöntem, aynı zamanda Ethereum ağındaki *gas* ücretlerinin yükselmesine neden olan başlıca sorunlardan biri olarak biliniyor.

Güvenlik şirketi Blockaid’e göre saldırgan, bu operasyon için haftalar boyunca hazırlık yaptı. Birden fazla sahte token ve sahte likidite havuzu üreterek, dışarıdan bakıldığında son derece kârlı görünen bir ‘fırsat ortamı’ tasarladı. Bu sahte ekosistemde, sarılmış Ether(WETH) ile USDC ve USDT gibi stabil kripto paraların yapısına benzeyen kurgular kullanıldı ve böylece ‘güvenilir’ bir piyasa görüntüsü verildi. Bot, bu yapıyı gerçek bir arbitraj veya kârlı işlem imkânı olarak algıladı ve saldırganın oluşturduğu akıllı kontrata token harcama yetkisi (’approve’) tanıdı. İlk denemelerde işlemler hemen gerçekleştirilse de, saldırgan sonradan ‘onayların kalıcı biçimde geçerli kalacağı’ ekstra bir mekanizma ekledi. ‘Sürekli açık kalan onay yetkisi’ ise olayın kırılma noktası oldu. Saldırgan bu açık sayede kontrattan WETH, USDC ve USDT çekmeye devam etti; toplam kayıp 7,5 milyon doları aştı. Bazı fonların daha sonra Tornado Cash üzerinden izinin kaybettirildiği tespit edildi.

İronik biçimde, Jaredfromsubway.eth bugüne kadar ‘toksik MEV’ tartışmalarının adeta poster çocuğu haline gelmişti. 2024 Kasım ile 2025 Ekim arasında sadece sandviç saldırıları yüzünden oluşan toplam zarar yıllık yaklaşık 60 milyon dolar seviyesinde hesaplanıyor ve bu botun bu saldırıların yaklaşık yüzde 70’ine doğrudan dahil olduğu belirtiliyor. 2023’ün başlarından beri aktif olan bot, mempool’u gerçek zamanlı tarayarak mümkün olan her işleme sıkışmaya çalışan, ‘endüstriyel ölçekte’ bir strateji izliyordu. Ethereum kurucu ortağı Vitalik Buterin(Vitalik Buterin)’in küçük tutarlı işlemlerini bile sandviçlemeye çalışması, bu agresif yaklaşımı çarpıcı biçimde ortaya koymuştu. O dönem bot, 1,14 milyon dolar sermaye ile bir ön alım işlemi denemiş, ancak işlem ücretleri düşüldüğünde elinde sadece birkaç dolarlık net kâr kalmıştı. ‘Yorum: Bu örnek, sistemin salt hacim ve sıklık üzerinden çalıştığını, verimlilikten çok otomasyona odaklandığını gösteriyor.’

Son olay, sandviç saldırılarının kullanıcıları üzerindeki olumsuz etkilerini ortadan kaldırmasa da, ‘otomatik kâr maksimize eden sistemler’in taşıdığı yapısal riskleri net biçimde açığa çıkardı. Sadece ‘örüntü tanıma’ ve ‘kâr sinyallerine’ güvenerek, onay ve işlemleri refleks halinde tekrarlayan sistemler, daha sabırlı ve ince işçilikle hazırlanmış tuzaklara karşı savunmasız kalabiliyor. Bugüne kadar sayısız trader’ın işlemlerini sömürerek sermaye biriktiren MEV botu, bu kez rollerin tersine döndüğü bir tabloyla karşılaştı. Piyasa verisini ‘okuyan’ algoritma, kendisi için özel yazılmış daha sofistike bir senaryoyu okuyamadı. ‘Yorum: Olay, MEV’in sadece etik tartışmalarını değil, aynı zamanda protokol ve cüzdan tasarımı düzeyinde güvenlik önlemlerinin yeniden düşünülmesini zorunlu kılıyor.’

Bu vaka, Ethereum(ETH) ekosisteminde MEV, sandviç saldırıları ve otomatik al-sat altyapıları etrafındaki tartışmaları yeniden alevlendirmiş durumda. Geliştiriciler ve protokol tasarımcıları için *onay yönetimi*, *izinlerin süresi* ve *MEV azaltma mekanizmaları* konularının daha ciddi biçimde ele alınması gerektiği vurgulanıyor. Özellikle yüksek frekanslı ve tam otomatik sistemler için, ‘saf kâr sinyali’ yerine güvenlik odaklı ek kontrollerin tasarlanması gerektiği görüşü güçleniyor. Olay, bir ‘MEV botu’nun da sonunda *MEV avcılarının kurduğu tuzaklara* düşebileceğini göstererek, piyasanın otomasyon dengesine dair önemli bir uyarı işareti olarak öne çıkıyor.