Dunia DeFi kembali diguncang oleh insiden keamanan besar. Kali ini, salah satu bot MEV (Maximal Extractable Value) paling produktif dan kontroversial di jaringan Ethereum โ Jaredfromsubway.eth โ menjadi korban eksploitasi senilai lebih dari $7,5 juta atau setara sekitar Rp120 miliar.
Kronologi Serangan: 66 Kontrak Palsu dalam Operasi Mingguan
Insiden yang terjadi pada Sabtu (21/6) waktu UTC ini dikonfirmasi oleh perusahaan keamanan blockchain Blockaid. Menurut analisis mereka, serangan ini bukanlah phishing biasa atau kerentanan smart contract tradisional, melainkan sebuah serangan "counter-MEV honeypot" yang secara spesifik menargetkan logika pengambilan keputusan otomatis yang diandalkan oleh bot MEV.
Chief Technology Officer Blockaid, Raz Niv, menjelaskan bahwa serangan ini telah direncanakan selama beberapa minggu. Penyerang mengerahkan 66 kontrak token palsu yang meniru nama dan antarmuka Wrapped ETH (WETH), USDC, dan USDt. Kontrak-kontrak palsu ini kemudian dipasangkan dengan liquidity pool buatan yang dirancang sedemikian rupa agar terlihat seperti peluang perdagangan menguntungkan.
"Ironisnya, dalam proses ini, penyerang justru mendapatkan kunci menuju jutaan dolar di treasury bot tersebut," ujar Niv. Bot Jaredfromsubway.eth yang memang diprogram untuk mengejar transaksi menguntungkan tanpa curiga menyetujui kontrak pembantu yang dikendalikan penyerang untuk membelanjakan dana asli atas namanya.
Satu Transaksi, 66 Backdoor, Semua Dana Raib
Puncaknya, dalam satu transaksi tunggal, penyerang memanggil seluruh 66 pintu belakang (backdoor) tersebut dan menyapu bersih semua ETH, USDC, dan USDT di alamat-alamat terkait. Data on-chain dari Arkham Intelligence menunjukkan bahwa sebagian dana curian telah dikirim ke layanan pencampur kripto Tornado Cash, menyulitkan upaya pelacakan lebih lanjut.
Jaredfromsubway.eth sendiri dikenal luas di ekosistem Ethereum sebagai bot yang bertanggung jawab atas sekitar 70% dari seluruh sandwich attack di jaringan tersebut antara November 2024 hingga Oktober 2025. Riset Cointelegraph sebelumnya mengungkapkan bahwa serangan sandwich di Ethereum menyebabkan kerugian tahunan sekitar $60 juta bagi para trader, dengan 60.000 hingga 90.000 serangan terjadi setiap bulannya.
Reaksi Komunitas: dari Vitalik hingga Gokhshtein
Pada bulan Mei lalu, salah satu pendiri Ethereum, Vitalik Buterin, bahkan pernah menjadi korban sandwich attack oleh Jaredfromsubway.eth ketika menukar 26.544 token DigitalBits. Meskipun nilai kerugian saat itu sangat kecil โ hanya sekitar $2 โ insiden tersebut menunjukkan bahwa tidak ada transaksi yang terlalu kecil untuk menjadi target bot MEV.
Komentar pedas pun bermunculan dari komunitas kripto. Investor dan komentator kripto David Gokhshtein menyatakan, "Kita tidak seharusnya senang tentang ini; tidak ada yang seharusnya merayakan... tetapi jika Anda pernah menjadi korban sandwich attack oleh bot ini... saya yakin Anda tidak akan kecewa dengan berita ini."
Apa Artinya bagi Ekosistem DeFi?
Insiden ini menjadi pengingat keras bagi ekosistem DeFi bahwa bahkan para predator pun bisa menjadi mangsa. Bot MEV yang selama ini dianggap sebagai "pajak tak terlihat" bagi pengguna DeFi ternyata memiliki kerentanan sistematis yang bisa dieksploitasi.
Pertanyaan besarnya kini: apakah eksploitasi ini akan memicu gelombang serangan serupa terhadap bot-bot MEV lainnya, dan bagaimana komunitas Ethereum akan merespons? Cryptonesia akan terus memantau perkembangan investigasi ini dan pergerakan dana curian lebih lanjut.
