Новини криптоміра

21.06.2026
08:21

Найбільший MEV-бот Ethereum втратив $7,5 млн через складну атаку з фейковими пулами ліквідності

Атака MEV-бота

Один із найвідоміших MEV-ботів у мережі Ethereum — Jaredfromsubway.eth — став жертвою витонченої хакерської атаки. Втрати склали понад $7,5 млн. Інцидент було зафіксовано системою виявлення експлойтів Blockaid, і він миттєво привернув увагу всієї криптоспільноти.

Згідно з даними аналітичної платформи Arkham, частину вкрадених коштів уже було переведено до Tornado Cash. Це вказує на те, що зловмисник прагне приховати сліди та ускладнити відстеження активів.

Як було проведено атаку?

Експерти Blockaid наголошують, що це не класична фішингова атака і не традиційна вразливість смарт-контракту. Натомість зловмисник розгорнув десятки фейкових токен-контрактів, замаскованих під популярні активи: WETH, USDC та USDT. Ці контракти були пов'язані з підробленими пулами ліквідності. Візуально такі конструкції виглядали як прибуткові угоди, на які зазвичай реагують MEV-боти для реалізації сендвіч-атак.

Автоматизована система виконання бота була обманута та надала допоміжним контрактам атакуючого дозволи на витрату реальних активів. Потім зловмисник однією транзакцією активував усі бекдори та вивів кошти.

Контекст і масштаб загрози

Jaredfromsubway.eth — це не просто бот, а справжній "кит" серед MEV-операторів. За оцінками, щорічні втрати трейдерів в Ethereum від сендвіч-атак становлять приблизно $60 млн. При цьому з листопада 2024 року по жовтень 2025 року в мережі фіксували від 60 000 до 90 000 подібних операцій на місяць, і близько 70% з них пов'язували саме з Jaredfromsubway.eth.

Нагадаю, що в червні 2024 року цей бот на короткий час став найбільшим споживачем газу в Ethereum, що свідчить про його величезний вплив на мережу.

Думка експерта: Цей інцидент демонструє фундаментальну вразливість автоматизованих MEV-стратегій. Навіть найскладніші та найприбутковіші боти не застраховані від атак, заснованих на соціальній інженерії та маніпуляції даними про ліквідність. Для спільноти це тривожний сигнал: традиційні методи захисту смарт-контрактів можуть бути марними, якщо атакуючий атакує не код, а логіку прийняття рішень бота. Ринку терміново потрібні нові протоколи безпеки, здатні перевіряти не лише код, а й достовірність зовнішніх даних.