Jaredfromsubway.eth — один из самых печально известных ботов Ethereum, ответственный приблизительно за 70% всех сэндвич-атак в сети и убытков трейдеров на $60 млн ежегодно, — стал жертвой иронического поворота: его собственная торговая логика была взломана. Бот потерял более $7.5 млн в результате многонедельной атаки, которую провела охранная компания Blockaid совместно с анализом разработчиков. Атакующий заманил бот подтверждать вредоносные вспомогательные контракты, имитируя токены WETH, USDC и USDT через фиктивные пулы ликвидности — а затем использовал открытые апрувы для вывода средств через Tornado Cash.

Ключевые данные об атаке:

  • Жертва: jaredfromsubway.eth — крупнейший MEV сэндвич-бот Ethereum
  • Сумма ущерба: более $7.5 млн
  • Масштаб жертвы: ~70% всех сэндвич-атак Ethereum, $60 млн/год убытков трейдеров
  • Метод атаки: фиктивные токены и пулы ликвидности, имитирующие WETH, USDC, USDT
  • Механизм: заманить бот подтверждать (approve) вредоносные контракты
  • Длительность подготовки: несколько недель
  • Отмывание: часть средств прошла через Tornado Cash
  • Детектор: Blockaid — компания по безопасности Web3

Механика атаки переворачивает привычную логику MEV. Jaredfromsubway.eth работает по высокоскоростному паттерну: обнаруживает ожидающую транзакцию в мемпуле, вставляет покупку до неё (front-run) и продажу сразу после (back-run), «зажимая» жертву в середину и забирая разницу. Скорость и автоматизация — главные преимущества бота. Атакующий использовал эту же автоматизацию против него: в течение нескольких недель создавал фиктивные токены и пулы ликвидности, имитирующие реальные активы (WETH, USDC, USDT), провоцируя бота давать апрувы своим контрактам. Как следует из публикации: «Атакующий обманул jaredfromsubway.eth, заставив его подтверждать поддельные маршруты торговли, затем использовал эти апрувы для слива WETH, USDC и USDT». Когда нужные апрувы были получены, одновременным вызовом бот был опустошён — нет ни паузы, ни ручного одобрения.

Атака вскрывает структурную уязвимость любого автоматизированного торгового агента: паттерн-распознавание и скорость — источники прибыли MEV-ботов — одновременно становятся вектором атаки при достаточно длинном горизонте подготовки. Jaredfromsubway.eth был разработан для одного сценария (быстрые сэндвич-атаки) и не имел механизма проверки подлинности токенов, с которыми работает. Для более широкого рынка: инцидент перекликается с устойчивым трендом в крупнейших взломах DeFi — сложность протоколов всё чаще становится главным вектором уязвимости, а не простые ошибки в коде смарт-контрактов. «Бот стал жертвой именно из-за системы, основанной на машинной скорости и распознавании паттернов», — констатирует анализ Blockaid.

Вердикт редакции: Ирония этого взлома очевидна и закономерна. Jaredfromsubway.eth был публично ненавидимым участником экосистемы — именно его сэндвич-атаки ежегодно обходились рядовым пользователям Ethereum в $60 млн в виде проскальзывания и потерь. Теперь тот же принцип — использовать автоматизированный паттерн против его владельца — применили к самому боту.

Технически значимый вывод: любой MEV-бот с достаточным TVL и предсказуемой логикой является мишенью для многонедельных «медленных» атак. Защита требует не только быстроты реакции, но и системы верификации контрагентов, которая противоречит самой идее скоростного арбитража. Следите за ключевыми трендами крипторынка 2026.

⚠️ Дисклеймер: Материал носит информационный характер. Делайте собственные выводы и проверяйте данные — DYOR.

© 2026 Cryptium.ru