Jaredfromsubway.eth, один из самых успешных MEV-ботов в крипто, был обворован на более чем 7,5 миллиона долларов после того, как злоумышленник обратил против бота его же логику автоматического исполнения. Атака использовала методологию контр-MEV honeypot (приманки), которая эксплуатировала систему автоматизированных решений бота: мошенники добились того, чтобы бот выдавал одобрения (token approvals) на токены для контрактов, контролируемых атакующим. MEV-боты отслеживают ожидающие транзакции в блокчейне и пытаются извлечь прибыль, управляя порядком транзакций — часто через сэндвич-атаки и другие стратегии maximal extractable value на Ethereum.
Инцидент стал редкой публичной неудачей для бота, который оказался тесно связан с сэндвич-атаками в Ethereum. Для пользователей DeFi активность MEV-ботов может действовать как невидимая «стоимость», привязанная к onchain-торговле.
Злоумышленник развернул контр-MEV honeypot, используя 66 фейковых токен-контрактов
Атака не опиралась на стандартный фишинговый сценарий или на прямую ошибку в смарт-контрактах бота. Вместо этого контракты, контролируемые атакующим, обманом заставили автоматизированную систему Jaredfromsubway.eth выдать одобрения на токены, которые затем были использованы для вывода средств из казначейства бота.
«Это не классическая фишинговая атака и не традиционная уязвимость смарт-контракта в контракте жертвы», — заявил Blockaid.
В течение нескольких недель атакующий развернул 66 фейковых токен-контрактов, которые копировали названия и интерфейсы Wrapped ETH, USDC и USDT. Затем эти фейковые токены были объединены с фейковыми пулами ликвидности, созданными так, чтобы выглядеть как прибыльные возможности для торговли.
Технический директор Blockaid Раз Нив (Raz Niv) описал инцидент как контр-MEV honeypot. «Это была атака-контр-MEV honeypot: она специально нацелилась на автоматизированную логику принятия решений с минимизацией доверия, которую используют MEV-боты», — сказал он.
Когда Jaredfromsubway.eth взаимодействовал с фейковой средой, он одобрил атакующим вспомогательные контракты (helper contracts) для траты реальных активов от своего имени. Эти одобрения открыли атакующему путь к казначейству бота.
«Иронично, но в процессе он предоставил атакующему ключи к миллионам в казначействе бота», — отметил Нив.
Затем атакующий выполнил одну транзакцию, вызвав все 66 backdoor-доступов (задние двери) и выведя ETH, USDC и USDT с затронутых адресов. Данные onchain показали, что часть похищенных средств позже была отправлена в Tornado Cash — крипто-сервис для миксинга, который часто используют, чтобы скрывать перемещение средств.
Jaredfromsubway.eth связан с 70% сэндвич-атак между ноябрём 2024 и октябрём 2025
Jaredfromsubway.eth уже давно является одним из самых заметных примеров MEV-активности в Ethereum. Исследования оценивали, что сэндвич-атаки в Ethereum приводили примерно к 60 миллионам долларов годовых потерь для трейдеров. Между ноябрём 2024 и октябрём 2025 сэндвич-атаки, как сообщалось, составляли от 60 000 до 90 000 в месяц, и около 70% из них связывали с Jaredfromsubway.eth.
В большинстве взломов DeFi непосредственными жертвами становятся пользователи или протоколы. В этом случае мишенью оказался бот, который широко воспринимается как извлекающий ценность из обычных трейдеров. Инцидент не устраняет проблему MEV в целом, но показывает, что та же автоматизация, которая помогает захватывать прибыль, может создавать концентрированную уязвимость, когда боты взаимодействуют с враждебными контрактами.
Атака также подчёркивает, что боты создают предсказуемые паттерны поведения, которые атакующие могут изучать. Когда эти паттерны включают одобрения, маршрутизационную логику или повторяющееся взаимодействие с неизвестными контрактами, сам бот может стать целью.
Сооснователя Ethereum Виталика Бутерина (Vitalik Buterin) ранее обрабатывала сэндвич-атака со стороны Jaredfromsubway.eth во время свопа небольшого количества DigitalBits — это показывает, что даже транзакции с низкой стоимостью могут быть нацелены MEV-системами. Потери были минимальными, но пример продемонстрировал, насколько безразборными могут быть эти боты.
Криптоинвестор и комментатор Дэвид Гокхштейн (David Gokhshtein) описал публичную реакцию в прямолинейных терминах. «Нам не стоит радоваться этому; никто не должен праздновать … но если вы когда-либо попадали в сэндвич от этого … я почти уверен, что вас не расстроят такие новости», — сказал он.
CTO Blockaid описывает атаку как цель для автоматизированной логики принятия решений с минимизацией доверия
Злоумышленник выстроил ловушку вокруг собственной модели мотивации бота. MEV-боты рассчитаны на то, чтобы быстро выявлять и исполнять прибыльные возможности — с ограниченной проверкой человеком. В этом случае автоматизированное принятие решений стало поверхностью атаки.
Технический директор Blockaid Раз Нив заявил, что инцидент был направлен именно на автоматизированную логику принятия решений с минимизацией доверия, которую используют MEV-боты. Настройка дала боту то, что выглядело как сделки, за которыми «стоит гнаться», в результате чего он выдал одобрения, которые в итоге предоставили доступ к миллионам в казначействе бота.
Инцидент, вероятно, побудит операторов MEV пересмотреть то, как автоматизированные системы обрабатывают одобрения (approvals), верификацию токенов и проверку валидности пулов ликвидности. Одних фейковых названий токенов и знакомых интерфейсов недостаточно для формирования доверия, особенно когда боты работают на скоростях, не оставляющих места для ручных проверок.
FAQ
Что случилось с MEV-ботом Jaredfromsubway.eth?
Jaredfromsubway.eth был обворован на более чем 7,5 миллиона долларов после того, как злоумышленник применил атаку-контр-MEV honeypot. В течение нескольких недель атакующий развернул 66 фейковых токен-контрактов, которые имитировали Wrapped ETH, USDC и USDT, вынудив бота выдать token approvals для контрактов, контролируемых атакующим. Затем атакующий выполнил одну транзакцию, вызвав все 66 backdoor-доступов, чтобы вывести средства из казначейства бота.
Сколько MEV-активности было связано с Jaredfromsubway.eth?
Между ноябрём 2024 и октябрём 2025, как сообщалось, сэндвич-атаки в Ethereum варьировались от 60 000 до 90 000 в месяц, и около 70% связывали с Jaredfromsubway.eth. Исследования оценивали, что сэндвич-атаки в Ethereum приводили примерно к 60 миллионам долларов годовых потерь для трейдеров.
Что Blockaid сказал о методе атаки?
Blockaid заявил, что это не была классическая фишинговая атака и не традиционная уязвимость смарт-контракта в контракте жертвы. Технический директор Blockaid Раз Нив описал инцидент как атаку-контр-MEV honeypot, которая была нацелена именно на автоматизированную логику принятия решений с минимизацией доверия, которую используют MEV-боты.
