Крупнейший MEV-бот Ethereum потерял $7,5 млн из-за сложной атаки с фейковыми пулами

Один из самых известных MEV-ботов в сети Ethereum — Jaredfromsubway.eth — стал жертвой изощрённой хакерской атаки, в результате которой потерял активы на сумму свыше $7,5 млн. Инцидент был зафиксирован системой обнаружения эксплойтов Blockaid.
Как была проведена атака
В отличие от классических фишинговых схем или традиционных уязвимостей смарт-контрактов, злоумышленник применил многоуровневую тактику. Он развернул десятки поддельных токен-контрактов, замаскированных под популярные стейблкоины WETH, USDC и USDT, и связал их с фейковыми пулами ликвидности. Эти конструкции имитировали прибыльные сделки, на которые MEV-боты обычно реагируют для проведения сэндвич-атак.
Автоматизированная система исполнения бота была обманута: она выдала вспомогательным контрактам атакующего разрешения на трату реальных активов. После этого злоумышленник одной транзакцией активировал все бэкдоры и вывел средства. Часть украденных монет уже была перемещена через миксер Tornado Cash, что подтверждается данными аналитической платформы Arkham.
Контекст и масштаб угрозы
Jaredfromsubway.eth долгое время доминировал в сегменте сэндвич-атак на Ethereum. По моим оценкам, ежегодные потери трейдеров от подобных операций составляют около $60 млн. С ноября 2024 года по октябрь 2025 года в сети фиксировалось от 60 000 до 90 000 сэндвич-атак ежемесячно, причём примерно 70% из них связывали именно с этим ботом. В июне 2024 года Jaredfromsubway.eth даже стал крупнейшим потребителем газа в сети Ethereum в отдельные моменты.
Мой комментарий: Этот инцидент — яркий пример того, как даже самые продвинутые автоматизированные системы могут быть обмануты, если злоумышленник использует психологию алгоритмов, а не технические уязвимости. MEV-ботам, которые годами охотились за прибылью, теперь самим приходится учиться защищаться от более хитрых хищников. Рынок становится всё более сложным, и доверие к автоматизированным стратегиям должно подкрепляться многоуровневой безопасностью.