MEV-бот JaredFromSubway втратив до $15 млн через фіктивні токени

У червні 2026 року відомий MEV-бот jaredfromsubway.eth на Ethereum поніс збитки в діапазоні від $7,5 млн до понад $15 млн після експлойту, у якому зловмисник змусив бота видати дозволи (approvals) на витрачання активів і потім вивів кошти.

Аналітична компанія Blockaid повідомила, що її система виявлення Exploit Detection зафіксувала атаку: атакувальник розгорнув контракти з підконтрольними токенами і пулами ліквідності, які обманули алгоритм пошуку вигідних MEV-маршрутів. У Blockaid уточнили, що проблема полягала в маніпуляції торговою логікою бота, а не в класичному фішингу чи помилці смартконтракту.

Атакувальник створив десятки фіктивних токенів і пулів ліквідності, які імітували популярні активи, зокрема WETH, USDC та USDT (приклади токенів з префіксом f: fWETH, fUSDC, fUSDT). Алгоритм вважав такі маршрути прибутковими й автоматично надавав контрактам атакувальника права на витрачання коштів.

За даними дослідників, на початкових тестових транзакціях дозволи використовувалися відразу, тож підозрілої активності не було. Потім атакувальник змінив тактику: бот продовжив видавати approvals, але вони не застосовувалися і не відкликалися, що дозволило накопичити низку активних дозволів. Для фінального виведення ці approvals застосували через функцію transferFrom і перевели активи на адресу зловмисника. Blockaid навела приклад, коли бот погодив витрачання понад 92 WETH на допоміжний контракт атакувальника.

Оцінка суми збитків варіюється залежно від методики підрахунку та курсів активів у момент атаки — від $7,5 млн до більше $15 млн. Blockaid підтвердила, що кошти у WETH, USDC та USDT були переведені на гаманець, контрольований нападником. Офіційних коментарів від власника бота наразі не надходило.

Реакція криптоспільноти була швидкою. Коментатор Кайл Chassé написав, що JaredFromSubway заробляв мільйони з 2023 року та був одним із найпомітніших виконавців «сендвіч-атак» в мережі. Співзасновник GlydeGG Джеремі Чунг повідомив про втрату понад $15 млн і назвав інцидент відплатою за попередні дії бота. Аналітик під псевдонімом zubic_eth зауважив, що автоматизована логіка бота фактично дозволила зловмиснику отримати доступ до коштів.

Інцидент нагадує про попередні випадки проблем із дозволами: у 2025 році через помилкові налаштування корпоративного гаманця біржа втратила близько $300 000 після видачі небезпечних approvals під час взаємодії з контрактом протоколу 0x; тоді компанія відкликала дозволи і змінила конфігурацію гаманців. JaredFromSubway раніше привертав увагу через великі витрати на комісії: у листопаді 2024 року бот заплатив понад $118 000 за одну транзакцію, а в червні 2024 року витратив близько $820 000 на газ за добу.

Подія привернула увагу до необхідності ретельної перевірки логіки автоматизованих торгових стратегій і контролю над виданими дозволами. Подальші кроки щодо повернення коштів або офіційні заяви власника бота не оприлюднені.