Найбільший MEV-бот Ethereum втратив $7,5 млн через складну атаку з фейковими пулами

Один із найвідоміших MEV-ботів у мережі Ethereum — Jaredfromsubway.eth — став жертвою витонченої хакерської атаки, внаслідок якої втратив активи на суму понад $7,5 млн. Інцидент був зафіксований системою виявлення експлойтів Blockaid.
Як було проведено атаку
На відміну від класичних фішингових схем або традиційних вразливостей смарт-контрактів, зловмисник застосував багаторівневу тактику. Він розгорнув десятки підроблених токен-контрактів, замаскованих під популярні стейблкоїни WETH, USDC та USDT, і пов'язав їх із фейковими пулами ліквідності. Ці конструкції імітували прибуткові угоди, на які MEV-боти зазвичай реагують для проведення сендвіч-атак.
Автоматизована система виконання бота була обманута: вона надала допоміжним контрактам атакуючого дозволи на витрату реальних активів. Після цього зловмисник однією транзакцією активував усі бекдори та вивів кошти. Частину вкрадених монет уже було переміщено через міксер Tornado Cash, що підтверджується даними аналітичної платформи Arkham.
Контекст і масштаб загрози
Jaredfromsubway.eth тривалий час домінував у сегменті сендвіч-атак на Ethereum. За моїми оцінками, щорічні втрати трейдерів від подібних операцій становлять близько $60 млн. З листопада 2024 року по жовтень 2025 року в мережі фіксувалося від 60 000 до 90 000 сендвіч-атак щомісяця, причому приблизно 70% із них пов'язували саме з цим ботом. У червні 2024 року Jaredfromsubway.eth навіть став найбільшим споживачем газу в мережі Ethereum в окремі моменти.
Мій коментар: Цей інцидент — яскравий приклад того, як навіть найдосконаліші автоматизовані системи можуть бути обмануті, якщо зловмисник використовує психологію алгоритмів, а не технічні вразливості. MEV-ботам, які роками полювали за прибутком, тепер самим доводиться вчитися захищатися від хитріших хижаків. Ринок стає дедалі складнішим, і довіра до автоматизованих стратегій має підкріплюватися багаторівневою безпекою.