Новости криптомира

21.06.2026
14:24

Крах гиганта: MEV-бот Jaredfromsubway.eth потерял $7,5 млн в результате изощрённой атаки

MEV2

Один из самых известных и агрессивных MEV-ботов в сети Ethereum — Jaredfromsubway.eth — стал жертвой целенаправленной хакерской атаки. В результате инцидента злоумышленник вывел активы на сумму, превышающую $7,5 млн. Этот случай — не просто очередной взлом, а демонстрация нового уровня сложности атак на автоматизированные торговые системы.

Как это произошло: ловушка на фейковых пулах

Анализ показывает, что атака не была типичной фишинговой схемой или эксплуатацией уязвимости в смарт-контракте самого бота. Вместо этого злоумышленник создал десятки поддельных токен-контрактов, искусно замаскированных под популярные ликвидные активы: WETH, USDC и USDT. Эти токены были встроены в фальшивые пулы ликвидности, которые имитировали прибыльные торговые возможности.

Автоматизированная система Jaredfromsubway.eth, запрограммированная на поиск таких возможностей для проведения сэндвич-атак, клюнула на приманку. Бот был вынужден выдать вспомогательным контрактам атакующего разрешения на трату реальных активов. После получения одобрения хакер одной транзакцией активировал все заложенные бэкдоры и мгновенно опустошил кошелек бота. Часть похищенных средств уже была замечена в миксере Tornado Cash, что затрудняет их отслеживание.

Масштаб угрозы и последствия

Этот инцидент подчеркивает уязвимость даже самых доминирующих игроков в сфере MEV. По моим оценкам, Jaredfromsubway.eth был настолько активен, что на его долю приходилось около 70% всех сэндвич-атак в сети Ethereum в последние месяцы. Для сравнения: общий ежегодный ущерб трейдеров от подобных манипуляций составляет примерно $60 млн, а в месяц фиксировалось от 60 000 до 90 000 таких операций.

Мой анализ: Эта атака — тревожный сигнал для всего сектора MEV. Она показывает, что злоумышленники начинают использовать сами алгоритмы ботов против них, создавая «ловушки на ликвидность». Владельцам и разработчикам MEV-ботов необходимо кардинально пересмотреть логику проверки пулов и контрактов, чтобы не стать жертвой собственной автоматизации. Потеря $7,5 млн для такого гиганта — серьезный удар, но главный урок здесь для всей экосистемы: доверие к автоматическим системам должно быть подкреплено многоуровневой защитой от социальной инженерии на уровне кода.