• В Ethereum взломали известного MEV-бота JaredFromSubway.
• Да, он стал жертвой собственной стратегии из-за фальшивых токенов.
• Потери оценили в диапазоне $7,5 млн-$15 млн.

Аналитическая компания Blockaid сообщила об успешной атаке на одного из самых известных MEV-ботов в экосистеме Ethereum — jaredfromsubway.eth. Инцидент произошел в июне 2026 года и привел к потере от $7,5 млн до более чем $15 млн в зависимости от методики подсчета. 

Событие привлекло внимание криптосообщества, поскольку речь идет не о классическом фишинге или уязвимости смарт-контракта, а о манипуляции логикой самого автоматизированного торгового алгоритма.

По данным Blockaid, злоумышленник смог обмануть систему поиска прибыльных MEV-возможностей, заставив бота самостоятельно выдать разрешения (approvals) на расходование активов сторонним контрактам.

«Это не классическая фишинговая атака и не традиционная уязвимость смарт-контракта жертвы», — подчеркнули в Blockaid.

Как работала схема

По информации исследователей, атакующий создал десятки фальшивых токенов и пулов ликвидности, которые имитировали популярные активы вроде WETH, USDC и USDT. Для этого использовались токены вроде fWETH, fUSDC и fUSDT, которые выглядели как потенциально прибыльные арбитражные маршруты.

Алгоритм JaredFromSubway определил эти операции как выгодные и автоматически предоставил контрактам злоумышленника права на расходование средств. Во время первых тестовых транзакций разрешения использовались сразу, поэтому подозрительной активности не возникало.

Позже атакующий изменил механику. Бот продолжил выдавать разрешения, однако на этот раз они не использовались и не отзывались. В результате злоумышленник накопил активные разрешения на расходование средств.

Blockaid привела один из примеров, когда бот согласовал расходование более 92 WETH на адрес вспомогательного контракта атакующего. В дальнейшем эти разрешения были использованы для финального вывода активов через функцию transferFrom.

В компании отметили, что средства в WETH, USDC и USDT были переведены на кошелек злоумышленника после того, как он воспользовался ранее полученными разрешениями.

«Хищник стал добычей»

Инцидент вызвал оживленную реакцию в криптосообществе из-за репутации JaredFromSubway. Бот долгое время был одним из крупнейших исполнителей так называемых сэндвич-атак в сети Ethereum.

Комментатор Kyle Chassé заявил:

«С 2023 года Jaredfromsubway.eth заработал миллионы на трейдерах. Это был самый известный бот для “сэндвич-атак” в Ethereum. Около 70% всех “сэндвич-атак” в сети происходили от этого кошелька. В эти выходные на него самого открыли охоту. […]Хищник стал добычей».

В свою очередь сооснователь GlydeGG Джереми Чунг отметил:

«Самый известный MEV-бот Ethereum JaredFromSubway только что потерял более $15 млн. После лет заработка на “сэндвич-атаках” кто-то наконец отомстил».

Аналитик под псевдонимом zubic_eth добавил, что бот фактически «одобрил собственное ограбление», поскольку его автоматизированная логика сработала именно так, как была запрограммирована.

Проблема MEV остается актуальной

История с JaredFromSubway стала еще одним примером рисков, связанных с MEV-инфраструктурой. Ранее во Flashbots заявили, что MEV-боты стали системной проблемой для масштабирования блокчейнов, поскольку могут потреблять более половины доступного газа в сетях.

Также похожий инцидент произошел в 2025 году с Coinbase. Из-за ошибочных настроек корпоративного кошелька биржа потеряла около $300 000 после того, как выдала опасные разрешения во время взаимодействия с контрактом протокола 0x. Тогда компания отозвала approvals и изменила конфигурацию кошельков.

Сам JaredFromSubway ранее неоднократно попадал в заголовки из-за чрезвычайно высоких расходов на комиссии. В ноябре 2024 года бот заплатил более $118 000 за одну транзакцию в Ethereum, а в июне того же года потратил около $820 000 на газ всего за сутки.

Источник: Incrypted