Новини криптоміра

21.06.2026
14:24

Крах гіганта: MEV-бот Jaredfromsubway.eth втратив $7,5 млн внаслідок витонченої атаки

MEV2

Один із найвідоміших і найагресивніших MEV-ботів у мережі Ethereum — Jaredfromsubway.eth — став жертвою цілеспрямованої хакерської атаки. У результаті інциденту зловмисник вивів активи на суму, що перевищує $7,5 млн. Цей випадок — не просто черговий злам, а демонстрація нового рівня складності атак на автоматизовані торгові системи.

Як це сталося: пастка на фейкових пулах

Аналіз показує, що атака не була типовою фішинговою схемою або експлуатацією вразливості в смарт-контракті самого бота. Натомість зловмисник створив десятки підроблених токен-контрактів, майстерно замаскованих під популярні ліквідні активи: WETH, USDC та USDT. Ці токени були вбудовані у фальшиві пули ліквідності, які імітували прибуткові торгові можливості.

Автоматизована система Jaredfromsubway.eth, запрограмована на пошук таких можливостей для проведення сендвіч-атак, клюнула на приманку. Бот був змушений надати допоміжним контрактам атакуючого дозволи на витрату реальних активів. Після отримання схвалення хакер однією транзакцією активував усі закладені бекдори та миттєво спустошив гаманець бота. Частину викрадених коштів уже помітили в міксері Tornado Cash, що ускладнює їх відстеження.

Масштаб загрози та наслідки

Цей інцидент підкреслює вразливість навіть найдомінантніших гравців у сфері MEV. За моїми оцінками, Jaredfromsubway.eth був настільки активним, що на його частку припадало близько 70% усіх сендвіч-атак у мережі Ethereum за останні місяці. Для порівняння: загальна щорічна шкода трейдерів від подібних маніпуляцій становить приблизно $60 млн, а на місяць фіксувалося від 60 000 до 90 000 таких операцій.

Мій аналіз: Ця атака — тривожний сигнал для всього сектору MEV. Вона показує, що зловмисники починають використовувати самі алгоритми ботів проти них, створюючи «пастки на ліквідність». Власникам і розробникам MEV-ботів необхідно кардинально переглянути логіку перевірки пулів і контрактів, щоб не стати жертвою власної автоматизації. Втрата $7,5 млн для такого гіганта — серйозний удар, але головний урок тут для всієї екосистеми: довіра до автоматичних систем має бути підкріплена багаторівневим захистом від соціальної інженерії на рівні коду.