Легендарний MEV-бот Jaredfromsubway.eth втратив $7,5 млн внаслідок складної атаки

Великий MEV-бот Jaredfromsubway.eth, який тривалий час домінував у сфері сендвіч-атак на Ethereum, зазнав нищівного фіаско. У результаті витонченої хакерської операції його гаманці втратили активи на суму, що перевищує $7,5 млн.
Механіка атаки: підміна реальності
Аналіз інциденту показує, що зловмисник діяв не через стандартні вразливості смарт-контрактів або фішинг. Натомість було розгорнуто цілу мережу підставних токен-контрактів, що імітують WETH, USDC та USDT. Ці фейкові активи були пов'язані з підробленими пулами ліквідності, які виглядали як високоприбуткові торгові можливості.
Автоматизована система MEV-бота, налаштована на пошук арбітражних та сендвіч-угод, "клюнула" на цю приманку. Бот надав допоміжним контрактам атакуючого дозволи на витрату реальних активів, вважаючи, що бере участь у легітимній угоді. Однією транзакцією хакер активував усі бекдори та спустошив гаманець бота. Частина викрадених коштів уже була відмита через Tornado Cash.
Контекст: монополія на сендвіч-атаки
Цей інцидент особливо іронічний, враховуючи масштаб діяльності Jaredfromsubway.eth. Згідно з моїми даними, з листопада 2024 року по жовтень 2025 року в мережі Ethereum щомісяця фіксувалося від 60 000 до 90 000 сендвіч-атак. Близько 70% цих операцій припадало саме на цього бота. Щорічні втрати трейдерів від подібних маніпуляцій оцінюються приблизно в $60 млн.
Нагадаю, що ще в червні 2024 року Jaredfromsubway.eth ставав найбільшим споживачем газу в Ethereum, що підкреслювало його домінуюче становище.
Висновок експерта
Це наочний приклад того, як навіть найдосконаліші автоматизовані системи можуть бути обмануті, якщо атакуючий створює переконливу симуляцію ринкового середовища. MEV-боти, які роками паразитували на звичайних користувачах, самі виявилися вразливими перед більш витонченою тактикою. Ринок криптовалют не прощає самовпевненості — ні трейдерам, ні ботам.