悪名高き仮想通貨ボット、逆に750万ドルを抜き取られる

イーサリアムのサンドイッチ攻撃の約70％に関与しているとされるMEVボット「Jaredfromsubway.eth」が、自動化されたシステムが攻撃者の管理する契約にトークンの利用を許可した結果、750万ドル超を失いました。

🚨Community Alert:
Blockaid Exploit Detection system detected an exploit involving the @jaredsmev MEV bot on Ethereum.
The incident resulted from attacker-controlled contracts tricking an automated MEV execution system into granting token approvals, later used to drain funds.…

— Blockaid (@blockaid_) June 20, 2026

オンチェーンのセキュリティ企業ブロックエイド（Blockaid）によると、攻撃者はボットの秘密鍵を侵害したわけでも広く使われるDeFiプロトコルの欠陥を突いたわけでもありません。代わりに、ボットが潜在的な利益を見つけて追求するために用いるルールそのものを標的にしたとされています。

Jaredfromsubway.ethは2023年から稼働し、イーサリアムのMEV市場で最も目立つ参加者の一つとなっていました。その同じ自動化が、自らの資金への入口になった形です。

偽の市場とERC-20承認を悪用した手口

攻撃者は数週間かけて、ボットが通常取引するような市場を模した偽のトークンや流動性プール、関連する契約を展開していたとされます。WETHやUSDC、USDTの模倣版を収益性が高そうに見えるシグナルを生む取引経路で組み合わせ、Jaredfromsubway.ethはこれを検知して、いつも通り補助契約にトークンの移動を許可していきました。

鍵となったのがERC-20の承認です。これは別のアドレスやスマートコントラクトに一定量のトークンの利用を認める仕組みで、使い切るか取り消さない限り有効なまま残ります。攻撃者は使われずに残った承認を十分に積み上げたうえで、transferFrom関数を使って実際の資産を引き出しました。

オンチェーンの記録では約92WETH、14万3000ドル相当のUSDC、14万9000ドル相当のUSDTが移され、資金の一部は追跡を困難にするトルネードキャッシュ（Tornado Cash）を経由したとされます。

軟調なイーサリアム相場、予測市場の見方は

今回の事件はイーサリアムの相場が伸び悩む局面で起きました。MEVのような抽出型取引はETHの価格そのものとは別の論理で動きますが、攻撃で失われたWETHやステーブルコインの規模感は、足元の相場水準にも左右されます。

6月にイーサリアムはどの価格帯に到達する？ – Polymarket

予測市場Polymarketの「6月にイーサリアムが到達する価格」に関する市場では、「1,500ドルへの下落」が13％、「2,000ドルへの到達」が7％と、下落方面で推移すると見られています。

なお、予測市場の見通しは参加者の見方を集約した公開的なものであり、結果を保証するものではありません。（関連：「ビットコインはいつ15万ドルに到達する？」）