Новини криптоміра

21.06.2026
14:09

Атака на MEV-гіганта: бот Jaredfromsubway.eth втратив понад $7,5 млн

MEV2

Відомий MEV-бот Jaredfromsubway.eth, який тривалий час домінував у сфері сендвіч-атак на Ethereum, став жертвою складної хакерської атаки. Втрати склали понад $7,5 млн у цифрових активах. Ця подія виявила вразливості не в смарт-контрактах як таких, а в механізмах автоматичного прийняття рішень, на яких побудовані подібні боти.

Як було проведено атаку

Експерти компанії Blockaid, яка займається виявленням експлойтів, встановили, що зловмисник діяв через підконтрольні йому смарт-контракти. Він розгорнув десятки фейкових токен-контрактів, замаскованих під популярні ліквідні активи — WETH, USDC та USDT. Ці контракти були пов'язані з підробленими пулами ліквідності, які візуально імітували прибуткові торгові можливості.

Саме на такі «прибуткові» угоди зазвичай і реагують MEV-боти, намагаючись провести сендвіч-атаку. В результаті автоматизована система виконання бота була обманута та надала допоміжним контрактам атакуючого дозволи (approvals) на витрату реальних активів. Після цього зловмисник однією транзакцією активував усі закладені бекдори та вивів кошти. Частину викрадених монет вже було відправлено до міксера Tornado Cash.

Масштаб та наслідки

Варто зазначити, що Jaredfromsubway.eth був не просто одним із багатьох MEV-ботів. За моїми даними, з листопада 2024 року по жовтень 2025 року в мережі Ethereum фіксувалося від 60 000 до 90 000 сендвіч-атак щомісяця, і близько 70% з них пов'язували саме з цим ботом. Його щорічний «внесок» у втрати трейдерів від подібних маніпуляцій оцінювався приблизно в $60 млн. У червні 2024 року цей бот навіть став найбільшим споживачем газу в мережі Ethereum, що підкреслює його масштаб та агресивність.

Моя професійна думка: Ця атака — не просто черговий злам. Це демонстрація того, що навіть найвитонченіші автоматизовані системи, націлені на отримання прибутку з чужих транзакцій, можуть бути обернені проти своїх творців. Інцидент ставить під сумнів надійність усієї екосистеми MEV, заснованої на довірі до симуляцій та підписуваних дозволів. Найближчим часом ми, ймовірно, побачимо посилення вимог до безпеки подібних ботів та перегляд архітектури їхньої взаємодії з ліквідністю.