Jaredfromsubway.eth, один із найуспішніших MEV-ботів у крипто, був обчищений на понад $7,5 млн після того, як атакувальник використав проти нього автоматизовану логіку виконання бота. Атака застосувала методологію counter-MEV honeypot (пастка проти MEV), яка експлуатувала систему автоматизованих рішень бота, підштовхнувши його надати дозволи (approvals) на токени для контрактів, контрольованих атакувальником. MEV-боти стежать за транзакціями, що очікують у блокчейні (pending), і намагаються заробити, керуючи порядком транзакцій, часто через sandwich-атаки та інші стратегії максимального вилучення вартості (maximal extractable value) в Ethereum.
Інцидент став рідкісною публічною невдачею для бота, який тісно асоціюється з sandwich-атаками на Ethereum. Для користувачів DeFi активність MEV-ботів може діяти як невидима вартість, «прив’язана» до ончейн-торгівлі.
Атакувальник розгорнув counter-MEV honeypot із 66 фейковими контрактами токенів
Атака не спиралася на стандартний фішинговий сценарій або на пряму ваду в смартконтрактах бота. Натомість контракти, контрольовані атакувальником, підштовхнули автоматизовану систему Jaredfromsubway.eth до надання approvals на витрату токенів, які згодом використали для виведення коштів із казни бота.
«Це не класична фішинг-атака і не традиційна вразливість смартконтракту в контракті жертви», — сказав Blockaid.
Протягом кількох тижнів атакувальник розгорнув 66 фейкових контрактів токенів, які копіювали назви й інтерфейси Wrapped ETH, USDC і USDT. Далі ці фейкові токени поєднали з фейковими пулами ліквідності, створеними так, щоб виглядати як прибуткові можливості для торгівлі.
Технічний директор Blockaid Раз Нів описав інцидент як counter-MEV honeypot. «Це була counter-MEV honeypot-атака, яка спеціально націлювалася на автоматизовану, мінімізовану за довірою логіку ухвалення рішень, яку використовують MEV-боти», — сказав він.
Коли Jaredfromsubway.eth взаємодіяв із фейковим середовищем, він схвалив (approved) допоміжні контракти атакувальника, щоб ті витрачали реальні активи від його імені. Ці дозволи відкрили атакувальнику шлях до казни бота.
«Іронічно, у процесі він фактично надав атакувальнику ключі до мільйонів у казні бота», — сказав Нів.
Після цього атакувальник виконав одну транзакцію, викликаючи всі 66 бекдорів, знявши ETH, USDC і USDT з адрес, на яких інцидент відбувся. Ончейн-дані показали, що частину вкрадених коштів пізніше відправили до Tornado Cash — криптоміксеру, який часто використовують, щоб приховувати переміщення коштів.
Jaredfromsubway.eth асоційований із 70% sandwich-атак між листопадом 2024 і жовтнем 2025
Jaredfromsubway.eth давно є одним із найпомітніших прикладів MEV-активності в Ethereum. Дослідження оцінювали, що sandwich-атаки в Ethereum спричинили близько $60 млн річних втрат для трейдерів. Між листопадом 2024 і жовтнем 2025 sandwich-атаки, за повідомленнями, коливалися в межах від 60 000 до 90 000 на місяць, причому приблизно 70% були пов’язані з Jaredfromsubway.eth.
У більшості хаків DeFi жертвами напряму стають користувачі або протоколи. У цьому випадку ціллю був бот, який широко вважали таким, що витягує цінність із звичайних трейдерів. Інцидент не усуває ширшу проблему MEV, але показує, що та сама автоматизація, яка допомагає захоплювати прибуток, може створювати концентрований ризик, коли боти взаємодіють із ворожими контрактами.
Атака також підкреслює, що боти створюють передбачувані моделі поведінки, які атакувальники можуть вивчати. Коли ці моделі включають approvals, маршрутизаційну логіку або повторювану взаємодію з невідомими контрактами, сам бот може стати ціллю.
Засновник Ethereum Віталік Бутерін раніше зазнавав sandwich-атаки від Jaredfromsubway.eth під час обміну невеликої кількості DigitalBits, показуючи, що навіть транзакції з низькою вартістю можуть бути мішенню для MEV-систем. Втрати були мінімальними, але приклад показав, наскільки без розбору ці боти можуть діяти.
Криптоінвестор і коментатор Девід Гокхштейн сформулював публічну реакцію в різких словах. «Ми не маємо радіти цьому; ніхто не має святкувати … але якщо вас колись сандвічили цим … я майже певен, що ви не засмучені цією новиною», — сказав він.
CTO Blockaid описує атаку як націлювання на автоматизовану логіку ухвалення рішень із мінімізованою довірою
Атакувальник побудував пастку на основі власної моделі стимулів бота. MEV-боти створені для того, щоб швидко виявляти й виконувати прибуткові можливості, з обмеженою перевіркою людиною. У цьому випадку саме автоматизована логіка ухвалення рішень стала «поверхнею атаки».
Технічний директор Blockaid Раз Нів заявив, що інцидент спеціально націлювався на автоматизовану, мінімізовану за довірою логіку ухвалення рішень, яку використовують MEV-боти. Налаштування надали боту те, що виглядало як торги, за якими варто гнатися, через що він видав approvals, які в підсумку забезпечили доступ до мільйонів у казні бота.
Імовірно, інцидент змусить операторів MEV переглянути, як автоматизовані системи обробляють approvals, перевірку токенів і валідацію пулів ліквідності. Імен фейкових токенів і знайомих інтерфейсів недостатньо для формування довіри, особливо коли боти рухаються зі швидкістю, що залишає мало простору для ручних перевірок.
FAQ
Що сталося з MEV-ботом Jaredfromsubway.eth?
Jaredfromsubway.eth обчистили на понад $7,5 млн після того, як атакувальник використав counter-MEV honeypot-атаку. Протягом кількох тижнів атакувальник розгорнув 66 фейкових контрактів токенів, які імітували Wrapped ETH, USDC і USDT, тим самим підштовхнувши бота надати approvals на токени для контрактів, контрольованих атакувальником. Після цього атакувальник виконав одну транзакцію, викликавши всі 66 бекдорів, щоб змести кошти з казни бота.
Скільки MEV-активності було пов’язано з Jaredfromsubway.eth?
Між листопадом 2024 і жовтнем 2025 sandwich-атаки в Ethereum, за повідомленнями, коливалися в межах від 60 000 до 90 000 на місяць, причому приблизно 70% були пов’язані з Jaredfromsubway.eth. Дослідження оцінювали, що sandwich-атаки в Ethereum спричинили близько $60 млн річних втрат для трейдерів.
Що Blockaid сказав про метод атаки?
Blockaid заявив, що це не була класична фішинг-атака і не була традиційною вразливістю смартконтракту в контракті жертви. Технічний директор Blockaid Раз Нів описав інцидент як counter-MEV honeypot-атаку, яка спеціально націлювалася на автоматизовану, мінімізовану за довірою логіку ухвалення рішень, яку використовують MEV-боти.
