MEV-бот JaredFromSubway став жертвою власної винахідливості: втрачено мільйони доларів

Аналітична компанія Blockaid повідомила про безпрецедентний випадок злому одного з найвідоміших MEV-ботів (Miner Extractable Value) в екосистемі Ethereum – jaredfromsubway.eth. Інцидент, що стався у червні 2026 року, призвів до зникнення активів на суму від 7,5 до понад 15 мільйонів доларів США (приблизно від 290 000 до 580 000 гривень за курсом 2026 року), залежно від методології підрахунку.

https://x.com/blockaid_/status/2068433798757577198

Ця подія привернула значну увагу криптоспільноти, адже йдеться не про типовий фішинг чи зловживання вразливостями смарт-контрактів, а про витончену маніпуляцію логікою самого автоматизованого торговельного алгоритму. За даними Blockaid, зловмиснику вдалося обдурити систему пошуку прибуткових MEV-можливостей, змусивши бота самостійно надавати дозвіл (approval) на витрачання активів стороннім контрактам.

“Це не класична фішингова атака і не традиційна вразливість смарт-контракту жертви”, – наголосили аналітики Blockaid.

Дослідники встановили, що атакуючий створив десятки фальшивих токенів та пулів ліквідності, які імітували популярні активи, такі як WETH, USDC та USDT. Використовувалися токени на кшталт fWETH, fUSDC та fUSDT, які створювали враження потенційно вигідних арбітражних шляхів. Алгоритм JaredFromSubway, прагнучи максимізувати прибуток, ідентифікував ці операції як привабливі та автоматично надав контрактам зловмисника права на управління коштами. На початкових етапах, під час тестових транзакцій, надані дозволи використовувалися одразу, що не викликало жодних підозр. Згодом атакуючий змінив тактику. Бот продовжував надавати дозволи, однак тепер вони не використовувалися негайно і не відкликалися. Це дозволило зловмиснику накопичити значну кількість активних дозволів на розпорядження коштами. Blockaid навели приклад, коли бот дозволив витратити понад 92 WETH на адресу допоміжного контракту атакуючого. Ці дозволи були згодом використані для остаточного виведення активів через функцію `transferFrom`. Компанія підтвердила, що кошти у формі WETH, USDC та USDT були переведені на гаманець зловмисника після того, як він скористався раніше отриманими правами.

Цей інцидент викликав бурхливу реакцію в криптоспільноті, враховуючи репутацію JaredFromSubway. Бот тривалий час був одним із найактивніших учасників так званих “сендвіч-атак” (sandwich attacks) у мережі Ethereum. Коментатор Kyle Chassé зазначив:

“З 2023 року Jaredfromsubway.eth заробив мільйони на трейдерах. Це був найвідоміший бот для “сэндвіч-атак” в Ethereum. Близько 70% усіх “сэндвіч-атак” у мережі відбувалися від цього гаманця. Ці вихідні на нього самого відкрили полювання. […] Хижак став здобиччю”.

Співзасновник GlydeGG Джеремі Чунг додав:

“Найвідоміший MEV-бот Ethereum JaredFromSubway щойно втратив понад 15 мільйонів доларів. Після років заробітку на “сэндвіч-атаках” хтось нарешті помстився”.

Аналітик під псевдонімом zubic_eth підкреслив, що бот фактично “схвалив власне пограбування”, оскільки його автоматизована логіка спрацювала саме так, як і була запрограмована.

https://x.com/zubic_eth/status/2068448326693933310

Історія з JaredFromSubway стала черговим свідченням ризиків, пов’язаних з MEV-інфраструктурою. Раніше команда Flashbots зазначала, що MEV-боти можуть становити системну проблему для масштабування блокчейнів, поглинаючи понад половину доступного газу в мережах. Схожий інцидент стався у 2025 році з біржею Coinbase. Через помилкові налаштування корпоративного гаманця біржа втратила близько 300 000 доларів США (приблизно 11,7 мільйона гривень), надавши небезпечні дозволи під час взаємодії з контрактом протоколу 0x. Тоді компанія оперативно відкликала approvals та скоригувала конфігурацію гаманців. Сам JaredFromSubway раніше неодноразово потрапляв у новини через надзвичайно високі витрати на комісії. У листопаді 2024 року бот сплатив понад 118 000 доларів США (приблизно 4,6 мільйона гривень) за одну транзакцію в Ethereum, а в червні того ж року витратив близько 820 000 доларів США (приблизно 32 мільйони гривень) на газ лише за одну добу.

Порада від Business News:

Ця новина підкреслює необхідність постійного моніторингу та оптимізації роботи автоматизованих систем у криптовалютному просторі. Навіть найдосвідченіші MEV-боти можуть стати жертвами складних атак. Криптотрейдерам та розробникам варто приділяти особливу увагу безпеці дозволів (approvals) та регулярно перевіряти конфігурації своїх гаманців і смарт-контрактів, щоб уникнути подібних фінансових втрат.

Дізнатися більше на: cryptocurrency.tech