MEV-гигант Jaredfromsubway.eth потерял $7,5 млн в результате сложной атаки на смарт-контракты

Один из самых известных MEV-ботов экосистемы Ethereum — Jaredfromsubway.eth — стал жертвой целенаправленной атаки, потеряв активы на сумму более $7,5 млн. Этот инцидент привлёк внимание всего криптосообщества и заставил экспертов пересмотреть свои представления о безопасности автоматизированных торговых систем.
Как выяснилось в ходе анализа, проведённого специалистами по безопасности, атака была нестандартной. Злоумышленник не использовал классические фишинговые схемы или уязвимости в контрактах самой жертвы. Вместо этого он развернул десятки поддельных токен-контрактов, замаскированных под популярные стейблкоины — WETH, USDC и USDT. Эти контракты были связаны с фиктивными пулами ликвидности, которые имитировали прибыльные торговые возможности.
MEV-боты, включая Jaredfromsubway.eth, настроены на поиск таких арбитражных ситуаций и проведение сэндвич-атак. Поддельные пулы выглядели настолько убедительно, что автоматизированная система бота выдала разрешения на трату реальных активов вспомогательным контрактам атакующего. После этого злоумышленник одной транзакцией активировал все бэкдоры и вывел средства. Часть похищенных монет уже была отправлена в Tornado Cash — популярный миксер для сокрытия следов транзакций.
Этот случай — серьёзный звонок для всех участников рынка. Сэндвич-атаки давно стали частью повседневной жизни Ethereum: по оценкам, ежегодные потери трейдеров от таких операций составляют около $60 млн. С ноября 2024 года по октябрь 2025 года в сети фиксировалось от 60 000 до 90 000 сэндвич-операций ежемесячно, и примерно 70% из них связывали именно с Jaredfromsubway.eth. В июне 2024 года этот бот даже становился крупнейшим потребителем газа в сети Ethereum.
Произошедшее наглядно демонстрирует, что даже самые опытные MEV-игроки не застрахованы от атак. Уязвимость кроется не в коде, а в самой логике взаимодействия с непроверенными контрактами. На мой взгляд, после этого инцидента мы увидим ужесточение требований к проверке подлинности пулов ликвидности и токенов со стороны MEV-ботов, что может временно снизить их агрессивность, но в долгосрочной перспективе сделает экосистему безопаснее.