MEV-бот Jaredfromsubway.eth лишился $7,5 млн в результате изощрённой атаки через фейковые пулы ликвидности
Известный MEV-бот Jaredfromsubway.eth, работающий в сети Ethereum, потерял активы на сумму более $7,5 млн. По моим данным, инцидент произошёл не из-за стандартной уязвимости смарт-контракта или фишинга, а вследствие сложной манипуляционной схемы, направленной на автоматизированную систему исполнения бота.
Специалисты по безопасности из Blockaid отметили, что злоумышленник развернул десятки поддельных токен-контрактов, замаскированных под WETH, USDC и USDT, и связал их с фейковыми пулами ликвидности. Эти конструкции имитировали прибыльные торговые возможности, на которые MEV-боты обычно реагируют для проведения сэндвич-атак. Атакующий обманул систему, заставив её выдать разрешения на трату реальных активов вспомогательным контрактам, после чего одной транзакцией вызвал все бэкдоры и вывел средства. Часть украденных монет уже была переведена в Tornado Cash.
Важно подчеркнуть, что этот случай не является классической атакой на смарт-контракт жертвы. Это скорее атака на саму логику принятия решений MEV-бота, что делает её особенно опасной для подобных автоматизированных систем.
Данные Arkham подтверждают, что злоумышленник действовал через подконтрольные контракты, а не напрямую. Интересно, что по оценкам, ежегодные потери трейдеров в Ethereum от сэндвич-атак составляют около $60 млн. При этом с ноября 2024 года по октябрь 2025 года в сети фиксировалось от 60 000 до 90 000 подобных операций в месяц, и около 70% из них связывали именно с Jaredfromsubway.eth. Напомню, что в июне 2024 года этот бот был крупнейшим потребителем газа в сети Ethereum.
Мой анализ: Эта атака демонстрирует фундаментальную уязвимость MEV-ботов: их алгоритмы, настроенные на поиск арбитража, могут быть обмануты искусственно созданными сигналами. В условиях, когда подобные боты контролируют значительную часть сетевой активности, такие инциденты подрывают доверие к автоматизированным стратегиям и требуют пересмотра механизмов верификации данных на уровне смарт-контрактов.