Атака на MEV-гиганта: бот Jaredfromsubway.eth потерял более $7,5 млн

Известный MEV-бот Jaredfromsubway.eth, долгое время доминировавший в сфере сэндвич-атак на Ethereum, стал жертвой собственной автоматизации. В результате целенаправленной атаки злоумышленникам удалось вывести активы на сумму более $7,5 млн. Этот инцидент — не просто очередной взлом, а серьёзный сигнал о том, что даже самые сложные алгоритмы могут быть обмануты.
Анализ инцидента показывает, что атака была нестандартной. Злоумышленник не взламывал напрямую контракты бота и не использовал классические фишинговые схемы. Вместо этого была развёрнута целая сеть из десятков поддельных токен-контрактов, замаскированных под популярные активы: WETH, USDC и USDT. Эти токены были привязаны к фальшивым пулам ликвидности, которые имитировали прибыльные торговые возможности.
MEV-бот, запрограммированный на поиск арбитража и сэндвич-атак, «клюнул» на эту приманку. Автоматизированная система исполнения сделок выдала вспомогательным контрактам атакующего разрешения на трату реальных средств. После этого злоумышленнику оставалось лишь одной транзакцией активировать все заложенные бэкдоры и вывести активы. Часть украденных средств уже ушла в миксер Tornado Cash, что подтверждается данными Arkham.
Контекст: масштаб угрозы
Стоит отметить, что Jaredfromsubway.eth был не просто одним из MEV-ботов, а настоящим гигантом. По оценкам, ежегодные потери трейдеров на Ethereum от сэндвич-атак составляют около $60 млн. При этом с ноября 2024 года по октябрь 2025 года около 70% всех подобных операций в сети (60 000–90 000 в месяц) связывали именно с этим ботом. В июне 2024 года он даже становился крупнейшим потребителем газа в сети Ethereum.
Мнение эксперта: Данный инцидент — яркий пример того, как сложность и автоматизация становятся ахиллесовой пятой DeFi. Атакующие больше не взламывают код, они обманывают логику. Для сообщества это урок: доверять MEV-ботам бездумно — значит рисковать всем. Рынок должен двигаться к более прозрачным и верифицируемым механизмам исполнения сделок.