Новини криптоміра

21.06.2026
08:01

MEV-бот Jaredfromsubway.eth втратив $7,5 млн внаслідок витонченої атаки через фейкові пули ліквідності

Відомий MEV-бот Jaredfromsubway.eth, що працює в мережі Ethereum, втратив активи на суму понад $7,5 млн. За моїми даними, інцидент стався не через стандартну вразливість смарт-контракту або фішинг, а внаслідок складної маніпуляційної схеми, спрямованої на автоматизовану систему виконання бота.

Фахівці з безпеки з Blockaid зазначили, що зловмисник розгорнув десятки підроблених токен-контрактів, замаскованих під WETH, USDC та USDT, і пов'язав їх з фейковими пулами ліквідності. Ці конструкції імітували прибуткові торгові можливості, на які MEV-боти зазвичай реагують для проведення сендвіч-атак. Атакуючий обдурив систему, змусивши її видати дозволи на витрату реальних активів допоміжним контрактам, після чого однією транзакцією викликав усі бекдори та вивів кошти. Частину вкрадених монет вже було переведено в Tornado Cash.

Важливо підкреслити, що цей випадок не є класичною атакою на смарт-контракт жертви. Це радше атака на саму логіку прийняття рішень MEV-бота, що робить її особливо небезпечною для подібних автоматизованих систем.

Дані Arkham підтверджують, що зловмисник діяв через підконтрольні контракти, а не безпосередньо. Цікаво, що за оцінками, щорічні втрати трейдерів в Ethereum від сендвіч-атак становлять близько $60 млн. При цьому з листопада 2024 року по жовтень 2025 року в мережі фіксувалося від 60 000 до 90 000 подібних операцій на місяць, і близько 70% з них пов'язували саме з Jaredfromsubway.eth. Нагадаю, що в червні 2024 року цей бот був найбільшим споживачем газу в мережі Ethereum.

Мій аналіз: Ця атака демонструє фундаментальну вразливість MEV-ботів: їхні алгоритми, налаштовані на пошук арбітражу, можуть бути обмануті штучно створеними сигналами. В умовах, коли подібні боти контролюють значну частину мережевої активності, такі інциденти підривають довіру до автоматизованих стратегій і вимагають перегляду механізмів верифікації даних на рівні смарт-контрактів.