Alle ore 1:59 del mattino UTC del 7 luglio 2026, un trader su Ethereum ha perso quasi 2 milioni di dollari in pochi secondi. Non per un hack classico, non per una truffa di phishing: la causa è un meccanismo molto più sottile e sistemico, che i ricercatori chiamano same-block backrun extraction. Un exploit che ha trasformato uno swap da oltre 2 milioni di dollari in un gruzzolo da 14.500 dollari, mentre il block builder Titan intascava 1,8 milioni nello stesso blocco.
Summary
Punti chiave
- Il trader ha swappato 1.126,44 Ether (circa 2,01 milioni di dollari) ricevendo solo 5.776 token LIT del valore di circa 14.500 dollari.
- Il router ha dirottato circa 1.117 Ether nel pool AVAIL/WETH a bassa liquidità su Uniswap v3, causando una perdita del 99,3%.
- Il block builder Titan ha estratto circa 1,8 milioni di dollari come reward nello stesso blocco.
- GoPlus Security ha definito l’episodio un caso da manuale di same-block backrun, distinto da un classico sandwich attack.
- Titan ha accumulato 112,6 milioni di dollari di ricavi dal block building nel corso del 2026, secondo i dati di DefiLlama.
Trader Ethereum: come quasi 2 milioni sono diventati 14.500 dollari
La dinamica dell’exploit è brutalmente semplice, almeno sulla carta. Il trader ha avviato uno swap su un exchange decentralizzato con l’intenzione di convertire Ether in token LIT. Il router — identificato come 0x router — ha instradato la transazione attraverso un pool AVAIL/WETH su Uniswap v3 caratterizzato da liquidità bassissima. Risultato: lo swap ha eseguito a un prezzo di circa 120 volte superiore al valore sostenibile di AVAIL.
Il trader si è ritrovato in mano circa 6,67 milioni di token AVAIL acquistati a un prezzo gonfiato. A quel punto il router ha venduto una piccola quantità di AVAIL di provenienza esterna nello stesso pool, estraendo circa 1.072 WETH. Di questi, 1.018 ETH — equivalenti a 1,8 milioni di dollari — sono stati girati a Titan come builder reward. I token AVAIL rimasti al trader sono stati poi convertiti in soli 14.200 dollari di LIT, segnando una perdita del 99,3% sull’operazione originale.
Perché un router può fare questo
Il punto critico è nel meccanismo di routing. I DEX aggregator cercano il percorso più efficiente per uno swap, ma in un ecosistema con centinaia di pool, alcuni a liquidità quasi nulla, la scelta del percorso può diventare un vettore di attacco. In questo caso, far transitare oltre un migliaio di Ether attraverso un pool illiquido ha creato un’opportunità di arbitraggio enorme — sfruttata interamente all’interno dello stesso blocco, prima che il mercato potesse correggere il prezzo.
Non si tratta di un bug tecnico nel senso classico del termine. È l’effetto collaterale di un’infrastruttura progettata per massimizzare l’efficienza delle transazioni, ma che in determinate condizioni può essere orientata a massimizzare i profitti dei builder a scapito dei trader.
Il block builder Titan: 1,8 milioni in un singolo blocco
Titan non è un attore marginale dell’ecosistema Ethereum. Secondo i dati di DefiLlama, il block builder ha generato 112,6 milioni di dollari di ricavi dal block building nel 2026. Il suo giorno migliore dell’anno è stato a marzo, quando ha estratto circa 34 milioni di dollari da un episodio MEV separato sulla piattaforma CoW Protocol.
Il reward da 1,8 milioni incassato in questa operazione rientra nella logica ordinaria del suo modello di business. I block builder selezionano e ordinano le transazioni all’interno di un blocco: chi controlla quell’ordine può intercettare e sfruttare le opportunità di arbitraggio create da operazioni come quella del trader colpito.
Cointelegraph ha contattato Titan per un commento, senza ricevere risposta.
Analisi dell’exploit: GoPlus Security spiega la differenza con il sandwich attack
L’episodio non è una variante del classico sandwich attack — e la distinzione conta. GoPlus Security ha analizzato la transazione e l’ha definita “un caso da manuale di same-block backrun extraction”. La differenza tecnica è sostanziale: in un sandwich attack, un bot piazza un ordine di acquisto prima dello swap della vittima e uno di vendita subito dopo, comprimendo il trader tra due operazioni opportunistiche. Qui, invece, non c’è stato nessun front-run preliminare.
L’intera estrazione è avvenuta dopo che lo swap era già stato instradato nel pool illiquido. Il meccanismo ha sfruttato lo squilibrio di prezzo creato dalla transazione stessa, attraverso un arbitraggio realizzato interamente nello stesso blocco. È una forma di MEV più silenziosa, ma altrettanto devastante.
Il consiglio del trader Ruslan Khairullin
Il trader crypto Ruslan Khairullin ha commentato l’episodio su X con una frase che sintetizza il problema in modo diretto: “This is what happens when you clicked confirm faster than you read the route. Painful lesson to see in real time.”
Verificare il percorso di routing prima di firmare uno swap avrebbe reso visibile il passaggio attraverso il pool a bassa liquidità. Un controllo di pochi secondi — che la maggior parte dei trader salta.
Il MEV su Ethereum: un settore da 113 milioni di dollari l’anno
Questo episodio non è una anomalia isolata. È il sintomo più evidente di come la Maximal Extractable Value (MEV) si sia trasformata da problema tecnico di nicchia in un’industria strutturata e altamente redditizia all’interno dell’ecosistema Ethereum.
I block builder come Titan operano di fatto come una sorta di casello autostradale sul flusso delle transazioni. Selezionano l’ordine con cui le operazioni vengono incluse in un blocco, e questa posizione di controllo consente di intercettare sistematicamente le opportunità di arbitraggio generate dai trader comuni. Il risultato è un trasferimento di valore invisibile, che avviene ogni giorno su scala industriale.
I ricercatori Ethereum stanno esplorando soluzioni strutturali, tra cui i cosiddetti encrypted mempool, che nasconderebbero il contenuto delle transazioni ai builder finché non vengono incluse in un blocco, eliminando alla radice la possibilità di sfruttarne il routing. Ma queste proposte sono ancora lontane dall’essere implementate in produzione. Nel frattempo, l’onere di proteggersi ricade interamente sui singoli trader: leggere il percorso di una transazione prima di confermarla non è solo una buona prassi, è l’unica difesa disponibile oggi.
FAQ
Cosa ha causato la perdita di quasi 2 milioni di dollari del trader Ethereum?
La perdita è stata causata da un exploit di tipo same-block backrun: il router ha instradato lo swap del trader attraverso il pool AVAIL/WETH a bassa liquidità su Uniswap v3, facendo eseguire la transazione a un prezzo circa 120 volte superiore al valore sostenibile di AVAIL. Questo ha generato un’opportunità di arbitraggio sfruttata interamente nello stesso blocco, con una perdita finale del 99,3%.
In che modo il block builder Titan ha beneficiato dell’exploit?
Titan ha estratto circa 1,8 milioni di dollari come builder reward nello stesso blocco, grazie a una strategia di backrun arbitrage. Il router ha venduto AVAIL nel pool, estratto circa 1.072 WETH e girato 1.018 ETH direttamente a Titan come compenso per l’inclusione della transazione.
Qual è la differenza tra questo exploit e un classico sandwich attack?
GoPlus Security ha chiarito che si tratta di un same-block backrun, non di un sandwich attack. Nel sandwich attack un bot piazza un ordine prima e uno dopo lo swap della vittima. In questo caso, non c’è stato nessun front-run preliminare: l’estrazione è avvenuta interamente dopo che lo swap era già stato instradato nel pool illiquido.
Come possono i trader evitare perdite simili?
Il consiglio principale è verificare attentamente il percorso di routing della transazione prima di confermarla. Come ha sottolineato Ruslan Khairullin, controllare il route avrebbe reso immediatamente visibile il passaggio attraverso il pool a bassa liquidità, rendendo la perdita evitabile.
Contenuto realizzato con l’assistenza dell’intelligenza artificiale e con revisione editoriale umana.

