Найбільший MEV-бот Ethereum втратив $7,5 млн у результаті складної атаки

Відомий MEV-бот Jaredfromsubway.eth, який тривалий час домінував у сендвіч-атаках на Ethereum, втратив активи на суму понад $7,5 млн. Інцидент стався в результаті витонченої атаки, спрямованої на автоматизовану систему виконання транзакцій бота.
Як було проведено атаку
Згідно з аналізом компанії Blockaid, зловмисник не використовував класичні фішингові методи або вразливості в смарт-контрактах жертви. Натомість він розгорнув десятки фейкових токен-контрактів, замаскованих під популярні стейблкоїни — WETH, USDC та USDT. Ці контракти були пов'язані з підробленими пулами ліквідності, які імітували прибуткові угоди, привабливі для MEV-ботів.
Схема була побудована так, щоб обдурити автоматизовану систему Jaredfromsubway.eth, змусивши її надати дозволи на витрату реальних активів допоміжним контрактам атакуючого. Після отримання схвалень зловмисник однією транзакцією активував усі бекдори та вивів кошти. Частину вкрадених монет уже було відправлено в міксер Tornado Cash, що підтверджується даними блокчейн-аналітики Arkham.
Масштаб та наслідки
Примітно, що Jaredfromsubway.eth був одним із найактивніших MEV-ботів у мережі Ethereum. З листопада 2024 року по жовтень 2025 року в мережі фіксувалося від 60 000 до 90 000 сендвіч-атак щомісяця, і близько 70% з них пов'язували саме з цим ботом. Щорічні втрати трейдерів від подібних операцій оцінюються в $60 млн.
Нагадаю, що в червні 2024 року цей же бот тимчасово став найбільшим споживачем газу в мережі Ethereum, що підкреслювало його масштаб і вплив на блокчейн.
Мій коментар: Цей інцидент — яскравий приклад того, як навіть найдосконаліші та найприбутковіші автоматизовані системи можуть бути обмануті за допомогою соціальної інженерії на рівні смарт-контрактів. Атака демонструє, що безпека MEV-ботів залишається критичною проблемою, і їхнім операторам необхідно впроваджувати складніші механізми перевірки автентичності токенів і пулів ліквідності, а не покладатися виключно на автоматичні тригери.