Krypto-Bot geplündert: Jaredfromsubway verliert 7,5 Mio. USD

• MEV-Bot selbst ausgetrickst:
  Der berüchtigte Sandwich-Bot Jaredfromsubway verlor laut Blockaid durch einen Exploit mindestens 7,5 Millionen US-Dollar.
• 66 Fake-Contracts als Falle:
  Der Angreifer setzte über Wochen manipulierte Token-Contracts und künstliche Liquidity-Pools auf, um den Bot gezielt zu täuschen.
• Millionenabfluss auf Ethereum:
  Onchain-Daten zeigen Abflüsse von 1.474 WETH, 2,87 Millionen USDC und 2,03 Millionen USDT aus dem Bot.
• Spuren führen zu Tornado Cash:
  Nach Angaben von PeckShield wurden die gestohlenen Vermögenswerte in 4.400 ETH getauscht, von denen bereits 1.000 ETH an Tornado Cash weitergeleitet wurden.
• 🤖 Automatisierung richtig nutzen:
  Pionex bietet Dir 16 integrierte Trading-Bots für Strategien wie Grid Trading, DCA und Futures-Arbitrage. Sichere Dir jetzt Deinen Futures Grid Bonus in Höhe von 50 USDT!

Krypto-Jäger wird selbst zur Beute

Jaredfromsubway gehörte jahrelang zu den bekanntesten und profitabelsten MEV-Bots im Krypto-Markt. Nun wurde ausgerechnet dieser Bot selbst zum Ziel eines Angriffs. Laut Sicherheitsfirma Blockaid verlor Jaredfromsubway mehr als 7,5 Millionen US-Dollar, nachdem ein Angreifer die automatisierte Ausführungslogik des Bots manipuliert hatte.

Besonders brisant: Es handelte sich weder um klassisches Phishing noch um eine gewöhnliche Smart Contract Schwachstelle. Der Bot wurde mit denselben Mechaniken ausgetrickst, die er sonst gegen andere Marktteilnehmer nutzt.

Profit durch Transaktionsreihenfolge

Bei MEV, also maximal extractable value, geht es darum, aus der Reihenfolge und Ausführung von Blockchain-Transaktionen Profit zu ziehen. Jaredfromsubway war vor allem für Sandwich-Attacken bekannt. Dabei springt ein Bot vor eine geplante Transaktion, lässt den Nutzer zu einem schlechteren Preis handeln und verkauft anschließend wieder mit Gewinn.

Zwischen November 2024 und Oktober 2025 wurden dem Bot Krypto-Experten Kyle Chassé zufolge rund 70 Prozent aller Sandwich-Angriffe auf Ethereum (ETH) zugeschrieben. Insgesamt kam es in diesem Zeitraum auf Ethereum zu 60.000 bis 90.000 solcher Angriffe pro Monat.

Krypto-Falle aus Fake-Contracts

Der Angriff auf Jaredfromsubway war kein schneller Zufallstreffer. Nach Angaben von Blockaid setzte der Angreifer über mehrere Wochen 66 gefälschte Token-Contracts auf. Sie imitierten WETH, USDC und USDT und wurden mit künstlichen Liquidity-Pools kombiniert.

Für die Logik des Bots sahen diese Konstrukte offenbar wie profitable Handelsmöglichkeiten aus. Genau darauf war die Falle ausgelegt. Der Bot interagierte mit den manipulierten Contracts und erteilte dabei Freigaben, über die später echte Assets bewegt werden konnten.

Der Exploit wird aktiviert

Als genügend dieser Berechtigungen gesammelt waren, erfolgte der eigentliche Zugriff. In einer einzigen Transaktion wurden die vorbereiteten Backdoors genutzt und Vermögenswerte aus den Adressen abgezogen. Onchain-Daten zeigen Abflüsse von 1.474 WETH im Wert von rund 2,56 Millionen US-Dollar, 2,87 Millionen USDC und rund 2,03 Millionen USDT.

PeckShield meldete zudem auf X, dass der Angreifer die gestohlenen Mittel in 4.400 ETH tauschte und bereits 1.000 ETH an Tornado Cash weiterleitete. Der Betreiber des Bots bezifferte den Schaden später sogar näher an 15 Millionen US-Dollar und setzte eine Belohnung von 1 Million US-Dollar für die Rückgabe der Mittel aus.

Fazit: Ein Lehrstück für den Krypto-Markt

Jaredfromsubway verdiente sein Geld damit, schneller als andere auf Marktchancen zu reagieren. Genau diese Stärke wurde ihm nun zum Verhängnis. Statt eine technische Schwachstelle auszunutzen, manipulierte der Angreifer die Entscheidungsgrundlage des Bots und lockte ihn in eine vorbereitete Falle.

Der Fall zeigt, dass im Krypto-Markt nicht nur Smart Contracts angreifbar sind. Auch automatisierte Handelslogik kann zur Schwachstelle werden, wenn Systeme Transaktionen schneller ausführen, als sie Risiken bewerten können.