บอต MEV ชื่อดัง Jaredfromsubway.eth ถูกดูดเงินกว่า 7.5 ล้านดอลลาร์ ผ่านกับดักสภาพคล่องปลอมบนอีเธอเรียม(ETH)

บอต MEV ชื่อกระฉ่อนบนเครือข่ายอีเธอเรียม(ETH) อย่าง ‘Jaredfromsubway.eth’ ถูกดูดเงินไปกว่า 7.5 ล้านดอลลาร์สหรัฐ หรือราว 115 ล้านบาท หลังถูกแฮ็กเกอร์ ‘หลอกให้ยอมเอง’ ผ่านการเจาะช่องโหว่ในระบบเทรดอัตโนมัติของตัวบอต โดยไม่ต้องใช้วิธีแฮ็กหรือฟิชชิ่งแบบดั้งเดิมเลยแม้แต่น้อย

‘MEV บอต’ ชื่อดัง กลายเป็นเหยื่อเสียเอง

จากข้อมูลของบริษัทด้านความปลอดภัย ‘บล็อกเอ이드(Blockaid)’ เหตุการณ์นี้ไม่ใช่การเจาะระบบหรือขโมยคีย์ส่วนตัว แต่เป็นการโจมตีเชิงตรรกะที่เล็งไปที่ ‘โครงสร้างการตัดสินใจ’ ของบอต Jaredfromsubway.eth โดยตรง

บอตตัวนี้มีชื่อเสียงด้านการใช้กลยุทธ์ ‘แซนด์วิช(Sandwich) โจมตี’ ซึ่งเป็นรูปแบบหนึ่งของ ‘MEV(Maximal Extractable Value)’ ที่คอยดักธุรกรรมของคนอื่นเพื่อรีดกำไรเพิ่มจากการเทรดบนอีเธอเรียม

แซนด์วิชโจมตีทำงานแบบ ‘เข้าซื้อก่อน – ให้เหย้อลงออร์เดอร์ – เทขายทีหลัง’

- ขั้นแรก ตรวจจับธุรกรรมของผู้ใช้ที่กำลังจะถูกส่งขึ้นบล็อกเชน

- จากนั้น บอตจะส่งคำสั่ง ‘ซื้อ’ ก่อนธุรกรรมของเหยื่อเพื่อดันราคา

- พอธุรกรรมของเหยื่อถูกดำเนินการที่ราคาที่ถูกดันขึ้น บอตก็ส่งคำสั่ง ‘ขาย’ ทันที

กลยุทธ์นี้สร้างกำไรให้บอต แต่ทำให้ผู้ใช้ต้องเสีย ‘ค่าธรรมเนียมแฝง’ และยังมีส่วนผลักดันให้ ‘ค่าก๊าซของอีเธอเรียม(ETH)’ สูงขึ้น จึงถูกมองว่าเป็นหนึ่งในรูปแบบ ‘MEV เป็นพิษ’ หรือ ‘Toxic MEV’ ที่สร้างปัญหาให้ระบบนิเวศ

เหยื่อติดกับ หลังหลงเชื่อสภาพคล่องปลอม

ตามรายงานของบล็อกเอ이드 แฮ็กเกอร์ใช้เวลาหลายสัปดาห์ในการปูทางอย่างแนบเนียน เขาสร้าง ‘โทเคนปลอม’ หลายตัวและ ‘พูลสภาพคล่องปลอม’ ขึ้นมา เพื่อให้ดูเหมือนเป็นโอกาสทำกำไรสูงที่บอต MEV ไม่อาจเมินเฉยได้

เพื่อเพิ่มความน่าเชื่อถือ แฮ็กเกอร์ออกแบบโครงสร้างให้คล้ายกับโทเคนหลักที่คนใช้บ่อย เช่น

- ‘WETH’ หรือ อีเธอเรียมห่อ (Wrapped Ether)

- สเตเบิลคอยน์อย่าง ‘USDC’ และ ‘USDT’

เมื่อ Jaredfromsubway.eth ตรวจพบโอกาสทำกำไรจากพูลเหล่านี้ ระบบของบอตจึงเข้าใจว่านี่คือ ‘โอกาสจริง’ และทำสิ่งที่บอต MEV ส่วนใหญ่ทำเป็นประจำ นั่นคือ อนุญาตสิทธิการใช้จ่ายโทเคน (approve) ให้กับสมาร์ตคอนแทรกต์ที่แฮ็กเกอร์สร้างขึ้น

ในการทดสอบรอบแรก บอตสามารถเทรดได้ปกติ แทบไม่ต่างจากดีลจริง สิ่งนี้ทำให้ระบบ ‘เชื่อสนิท’ ว่าทุกอย่างปลอดภัย แต่แฮ็กเกอร์ได้ออกแบบเพิ่มให้ ‘สิทธิการอนุมัติ (approve) ยังคงค้างอยู่’ แม้ธุรกรรมจะจบไปแล้ว

‘คำอนุมัติที่ไม่ถูกยกเลิก’ กลายเป็นรูรั่วสำคัญ แฮ็กเกอร์ใช้ช่องนี้ดึง WETH, USDC และ USDT ออกจากกระเป๋าที่เชื่อมกับบอตอย่างต่อเนื่อง จนยอดความเสียหายพุ่งเกิน 7.5 ล้านดอลลาร์ โดยมีส่วนหนึ่งของสินทรัพย์ถูกส่งต่อไปยังโปรโตคอลปกปิดเส้นทางเงินอย่าง ‘โทนาโด แคช(Tornado Cash)’

จากผู้ล่า สู่เหยื่อรายใหญ่

สิ่งที่ทำให้กรณีนี้ถูกจับตามอง คือภาพลักษณ์ของ Jaredfromsubway.eth เอง ที่เคยถูกมองเป็น ‘ผู้ล่า’ ในโลก MEV มาโดยตลอด

ข้อมูลระบุว่า ตั้งแต่เดือนพฤศจิกายน 2024 ถึงตุลาคม 2025 ความเสียหายรวมจาก ‘แซนด์วิชโจมตี’ อยู่ที่ราว 60 ล้านดอลลาร์ต่อปี และ ‘บอตตัวนี้’ มีส่วนเกี่ยวข้องกับดีลเหล่านั้นมากถึงประมาณ 70%

Jaredfromsubway.eth เริ่มทำงานตั้งแต่ช่วงต้นปี 2023 ใช้กลยุทธ์สแกน ‘เมมพูล(Mempool)’ แบบเรียลไทม์ เพื่อแทรกตัวเข้าไปในแทบทุกช่องทางที่มองเห็นกำไรได้ เป้าหมายของมันไม่เว้นแม้แต่ธุรกรรมขนาดเล็กของ ‘วิตาลิก บูเทริน(Vitalik Buterin)’ ผู้ร่วมก่อตั้งอีเธอเรียม(ETH) เอง

มีบันทึกหนึ่งที่น่าสนใจ บอตตัวนี้เคยใช้ทุนสูงถึง 1.14 ล้านดอลลาร์พยายามทำธุรกรรมแซนด์วิชกับดีลของวิตาลิก แต่หลังหักค่าก๊าซและต้นทุนอื่น กำไรจริงเหลือเพียงไม่กี่ดอลลาร์เท่านั้น สะท้อนให้เห็นความ ‘หมกมุ่นเชิงอุตสาหกรรม’ ของบอตที่พร้อมจ่ายหนักเพื่อรีดกำไรแม้เพียงเล็กน้อย

‘ความคิดเห็น’

กรณีนี้จึงถูกมองว่าเป็น ‘กรรมตามสนองเชิงเทคนิค’ ที่ผู้เล่นรายใหญ่ด้าน MEV ซึ่งเคยรีดผลประโยชน์จากผู้ใช้ทั่วไปจำนวนมาก กลับกลายมาเป็นเหยื่อของกลยุทธ์ที่ซับซ้อนกว่า

ความเสี่ยงของ ‘ความโลภแบบอัตโนมัติ’

เหตุการณ์ Jaredfromsubway.eth ถูกดูดเงิน ไม่ได้ทำให้ปัญหา ‘แซนด์วิชโจมตี’ ลดลงโดยตรง เพราะบอต MEV รายอื่นยังคงทำงานต่อไปเหมือนเดิม แต่สิ่งที่มันแสดงให้เห็นอย่างชัดเจนคือ ‘ความเสี่ยงเชิงโครงสร้าง’ ของระบบหารายได้แบบอัตโนมัติในโลกคริปโต

เมื่ออัลกอริทึมถูกออกแบบให้ ‘เชื่อมโยงลายเซ็นของกำไร’ เป็นหลัก และตอบสนองต่อสัญญาณเหล่านั้นแบบอัตโนมัติ ไม่ตรวจสอบบริบทหรือความน่าเชื่อถือของคอนแทรกต์จริง ๆ ก็เปิดโอกาสให้แฮ็กเกอร์ออกแบบกับดักได้ง่ายขึ้นอย่างมาก

บอต MEV อย่าง Jaredfromsubway.eth เคยสร้างรายได้จากการดักหน้าธุรกรรมของเทรดเดอร์จำนวนมหาศาล แต่ครั้งนี้กลับกลายเป็นฝ่ายถูกอ่านเกม และโดนระบบที่ซับซ้อนกว่า ‘ย้อนศร’ เอาคืน

‘ความคิดเห็น’

กรณีของ Jaredfromsubway.eth กลายเป็นตัวอย่างสด ๆ ที่ผลักให้ผู้พัฒนา โปรโตคอล และเทรดเดอร์ในระบบนิเวศอีเธอเรียม(ETH) ต้องหันกลับมาทบทวน ‘โครงสร้าง MEV’ และ ‘ระบบเทรดอัตโนมัติ’ ว่าควรมีมาตรการจำกัดสิทธิ approve, ระบบตรวจจับพูลผิดปกติ หรือกลไกป้องกันเชิงดีฟอลต์มากกว่านี้หรือไม่ เพื่อไม่ให้ทั้งผู้ใช้ทั่วไปและแม้แต่ ‘ผู้ล่าอย่าง MEV บอต’ เอง ต้องตกหลุมพรางแบบเดียวกันอีกในอนาคต