«Хищник стал добычей»: известный MEV-бот Ethereum потерял до $15 млн после ловушки с фальшивыми токенами

• В Ethereum взломали известного MEV-бота JaredFromSubway.
• Да, он стал жертвой собственной стратегии из-за фальшивых токенов.
• Потери оценили в диапазоне $7,5 млн-$15 млн.

Аналитическая компания Blockaid сообщила об успешной атаке на одного из самых известных MEV-ботов в экосистеме Ethereum — jaredfromsubway.eth. Инцидент произошел в июне 2026 года и привел к потере от $7,5 млн до более чем $15 млн в зависимости от методики подсчета.

Событие привлекло внимание криптосообщества, поскольку речь идет не о классическом фишинге или уязвимости смарт-контракта, а о манипуляции логикой самого автоматизированного торгового алгоритма.

По данным Blockaid, злоумышленник смог обмануть систему поиска прибыльных MEV-возможностей, заставив бота самостоятельно выдать разрешения (approvals) на расходование активов сторонним контрактам.

Как работала схема

По информации исследователей, атакующий создал десятки фальшивых токенов и пулов ликвидности, которые имитировали популярные активы вроде WETH, USDC и USDT. Для этого использовались токены вроде fWETH, fUSDC и fUSDT, которые выглядели как потенциально прибыльные арбитражные маршруты.

Алгоритм JaredFromSubway определил эти операции как выгодные и автоматически предоставил контрактам злоумышленника права на расходование средств. Во время первых тестовых транзакций разрешения использовались сразу, поэтому подозрительной активности не возникало.

Позже атакующий изменил механику. Бот продолжил выдавать разрешения, однако на этот раз они не использовались и не отзывались. В результате злоумышленник накопил активные разрешения на расходование средств.

Blockaid привела один из примеров, когда бот согласовал расходование более 92 WETH на адрес вспомогательного контракта атакующего. В дальнейшем