MEV-бот Jaredfromsubway.eth втратив понад $7,5 млн в результаті складної атаки.

Відомий MEV-бот Jaredfromsubway.eth, що працює в мережі Ethereum, зазнав значних втрат: зловмисники вивели активи на суму понад $7,5 млн. Ця подія знову привернула увагу до вразливостей автоматизованих торгових систем.
Як відбулася атака
Згідно з даними аналітичної платформи Blockaid, атака не була класичним фішингом або традиційною вразливістю смарт-контракту. Натомість зловмисники розгорнули десятки підроблених токен-контрактів, замаскованих під популярні стейблкоїни — WETH, USDC та USDT. Ці контракти були пов'язані з фальшивими пулами ліквідності, які імітували прибуткові угоди.
MEV-боти, такі як Jaredfromsubway.eth, зазвичай реагують на такі конструкції для проведення сендвіч-атак. Однак у цьому випадку схема була зворотною: бот був змушений надати допоміжним контрактам зловмисника дозволи на витрату реальних активів. Потім однією транзакцією були активовані всі бекдори, і кошти були виведені.
Наслідки та масштаби
Частину вкрадених монет уже було переміщено через міксер Tornado Cash, що ускладнює їх відстеження. Цей інцидент підкреслює зростаючу складність атак на MEV-інфраструктуру.
Варто зазначити, що сендвіч-атаки залишаються серйозною проблемою для екосистеми Ethereum. За моїми оцінками, щорічні втрати трейдерів від таких операцій становлять близько $60 млн. З листопада 2024 року по жовтень 2025 року в мережі фіксувалося від 60 000 до 90 000 подібних операцій на місяць, причому близько 70% з них були пов'язані саме з Jaredfromsubway.eth. У червні 2024 року цей бот навіть став найбільшим споживачем газу в мережі, що свідчить про його домінуючу роль у цьому сегменті.
Мій аналіз: Цей випадок — яскравий приклад того, як навіть найдосконаліші MEV-боти можуть бути ошукані ретельно спланованими пастками. Ринок має враховувати, що автоматизація несе не лише прибуток, але й ризики. Інвесторам та розробникам варто переглянути механізми безпеки, особливо в частині дозволів на токени, щоб уникнути подібних інцидентів у майбутньому.