• В Ethereum зламали відомого MEV-бота JaredFromSubway.
• Так, він став жертвою власної стратегії через фальшиві токени.
• Втрати оцінили в діапазоні $7,5 млн-$15 млн.

Аналітична компанія Blockaid повідомила про успішну атаку на одного з найвідоміших MEV-ботів в екосистемі Ethereum — jaredfromsubway.eth. Інцидент стався у червні 2026 року й призвів до втрати від $7,5 млн до понад $15 млн залежно від методики підрахунку. 

Подія привернула увагу криптоспільноти, оскільки йдеться не про класичний фішинг чи вразливість смартконтракту, а про маніпуляцію логікою самого автоматизованого торгового алгоритму.

За даними Blockaid, зловмисник зміг обманути систему пошуку прибуткових MEV-можливостей, змусивши бота самостійно видати дозволи (approvals) на витрачання активів стороннім контрактам.

«Це не класична фішингова атака й не традиційна вразливість смартконтракту жертви», — підкреслили в Blockaid.

Як працювала схема

За інформацією дослідників, нападник створив десятки фальшивих токенів і пулів ліквідності, які імітували популярні активи на кшталт WETH, USDC і USDT. Для цього використовувалися токени на кшталт fWETH, fUSDC і fUSDT, які виглядали як потенційно прибуткові арбітражні маршрути.

Алгоритм JaredFromSubway визначив ці операції як вигідні й автоматично надав контрактам зловмисника права на витрачання коштів. Під час перших тестових транзакцій дозволи використовувалися одразу, тому підозрілої активності не виникало.

Пізніше нападник змінив механіку. Бот продовжив видавати дозволи, однак цього разу вони не використовувалися й не відкликалися. У результаті зловмисник накопичив активні дозволи на витрачання коштів.

Blockaid навела один із прикладів, коли бот узгодив витрачання понад 92 WETH на адресу допоміжного контракту нападника. Надалі ці дозволи були використані для фінального виведення активів через функцію transferFrom.

У компанії зазначили, що кошти в WETH, USDC і USDT були переведені на гаманець зловмисника після того, як він скористався раніше отриманими дозволами.

«Хижак став здобиччю»

Інцидент викликав жваву реакцію в криптоспільноті через репутацію JaredFromSubway. Бот тривалий час був одним із найбільших виконавців так званих сендвіч-атак у мережі Ethereum.

Коментатор Kyle Chassé заявив:

«З 2023 року Jaredfromsubway.eth заробив мільйони на трейдерах. Це був найвідоміший бот для “сендвіч-атак” в Ethereum. Близько 70% усіх “сендвіч-атак” у мережі походили від цього гаманця. Цими вихідними на нього самого відкрили полювання. […]Хижак став здобиччю».

Своєю чергою співзасновник GlydeGG Джеремі Чунг зазначив:

«Найвідоміший MEV-бот Ethereum JaredFromSubway щойно втратив понад $15 млн. Після років заробітку на “сендвіч-атаках” хтось нарешті помстився».

Аналітик під псевдонімом zubic_eth додав, що бот фактично «схвалив власне пограбування», оскільки його автоматизована логіка спрацювала саме так, як була запрограмована.

Проблема MEV залишається актуальною

Історія з JaredFromSubway стала ще одним прикладом ризиків, пов’язаних із MEV-інфраструктурою. Раніше у Flashbots заявили, що MEV-боти стали системною проблемою для масштабування блокчейнів, оскільки можуть споживати понад половину доступного газу в мережах.

Також схожий інцидент стався у 2025 році з Coinbase. Через помилкові налаштування корпоративного гаманця біржа втратила близько $300 000 після того, як видала небезпечні дозволи під час взаємодії з контрактом протоколу 0x. Тоді компанія відкликала approvals і змінила конфігурацію гаманців.

Сам JaredFromSubway раніше неодноразово потрапляв у заголовки через надзвичайно високі витрати на комісії. У листопаді 2024 року бот заплатив понад $118 000 за одну транзакцію в Ethereum, а в червні того ж року витратив близько $820 000 на газ усього за добу.

Джерело: Incrypted