Атака на MEV-гіганта: бот Jaredfromsubway.eth втратив понад $7,5 млн

Відомий MEV-бот Jaredfromsubway.eth, який тривалий час домінував у сфері сендвіч-атак на Ethereum, став жертвою власної автоматизації. У результаті цілеспрямованої атаки зловмисникам вдалося вивести активи на суму понад $7,5 млн. Цей інцидент — не просто черговий злам, а серйозний сигнал про те, що навіть найскладніші алгоритми можуть бути ошукані.
Аналіз інциденту показує, що атака була нестандартною. Зловмисник не зламував безпосередньо контракти бота і не використовував класичні фішингові схеми. Натомість було розгорнуто цілу мережу з десятків підроблених токен-контрактів, замаскованих під популярні активи: WETH, USDC та USDT. Ці токени були прив'язані до фальшивих пулів ліквідності, які імітували прибуткові торгові можливості.
MEV-бот, запрограмований на пошук арбітражу та сендвіч-атак, «клюнув» на цю приманку. Автоматизована система виконання угод надала допоміжним контрактам атакуючого дозволи на витрату реальних коштів. Після цього зловмиснику залишалося лише однією транзакцією активувати всі закладені бекдори та вивести активи. Частина вкрадених коштів уже пішла в міксер Tornado Cash, що підтверджується даними Arkham.
Контекст: масштаб загрози
Варто зазначити, що Jaredfromsubway.eth був не просто одним із MEV-ботів, а справжнім гігантом. За оцінками, щорічні втрати трейдерів на Ethereum від сендвіч-атак становлять близько $60 млн. При цьому з листопада 2024 року по жовтень 2025 року близько 70% усіх подібних операцій у мережі (60 000–90 000 на місяць) пов'язували саме з цим ботом. У червні 2024 року він навіть став найбільшим споживачем газу в мережі Ethereum.
Думка експерта: Цей інцидент — яскравий приклад того, як складність та автоматизація стають ахіллесовою п'ятою DeFi. Атакуючі більше не зламують код, вони обманюють логіку. Для спільноти це урок: довіряти MEV-ботам бездумно — означає ризикувати всім. Ринок має рухатися до більш прозорих та верифікованих механізмів виконання угод.