Найбільший MEV-бот Ethereum втратив $7,5 млн внаслідок складної атаки

Відомий у мережі Ethereum MEV-бот Jaredfromsubway.eth став жертвою витонченої атаки, втративши понад $7,5 млн. Інцидент виявив нову грань вразливостей в автоматизованих стратегіях вилучення максимальної вартості (MEV).
Як було проведено атаку
Експерти з безпеки з Blockaid класифікують цей випадок не як класичну фішингову атаку або стандартну вразливість смарт-контракту. Зловмисник діяв через десятки підроблених токен-контрактів, замаскованих під популярні активи — WETH, USDC та USDT. Ці контракти були пов'язані з фейковими пулами ліквідності, які імітували прибуткові торгові можливості.
Автоматизована система MEV-бота, запрограмована на пошук таких арбітражних ситуацій, була обманута та надала допоміжним контрактам атакуючого дозволи на витрату реальних активів. У результаті однією транзакцією зловмисник активував усі бекдори та вивів кошти. Частину викрадених монет уже було відправлено до міксера Tornado Cash.
Масштаб загрози та роль Jaredfromsubway.eth
Цей бот тривалий час був домінуючим гравцем на ринку MEV. За моїми даними, щорічні втрати трейдерів в Ethereum від сендвіч-атак становлять близько $60 млн. З листопада 2024 року по жовтень 2025 року в мережі фіксувалося від 60 000 до 90 000 таких операцій щомісяця, причому приблизно 70% з них пов'язували саме з Jaredfromsubway.eth.
Цікаво, що в червні 2024 року цей же бот був найбільшим споживачем газу в мережі Ethereum, що підкреслює його агресивну стратегію.
Мій аналіз: Цей інцидент — серйозний дзвінок для всієї MEV-спільноти. Він демонструє, що навіть найдосвідченіші та технічно оснащені боти вразливі перед атаками, які експлуатують не код, а логіку їхньої роботи. Створення фейкових пулів та токенів — це еволюція фішингу на рівні смарт-контрактів, і найближчим часом ми, ймовірно, побачимо більше подібних атак на автоматизовані системи.