arrow back

MEV-бот Ethereum JaredFromSubway втратив до $15 млн

21 черв 2026

MEV-бот Ethereum JaredFromSubway втратив до $15 млн через фальшиві токени. Що сталося, як працювала пастка і чому це важливо для трейдерів.

MEV-бот Ethereum JaredFromSubway у червні 2026 року втратив від $7,5 млн до понад $15 млн після пастки з фальшивими токенами. Це вдарило по боту, який роками заробляв на сэндвіч-атаках, а тепер сам став жертвою власної логіки.

Про інцидент повідомила аналітична компанія Blockaid. За її даними, атакувальник створив підроблені токени й пули ліквідності, змусив автоматизовану систему видати approvals на сторонні контракти, а потім вивів кошти через transferFrom. У схемі згадуються WETH, USDC і USDT, а один із прикладів показав дозвіл на понад 92 WETH.

Для трейдерів це важлива історія. Для розробників теж. Вона показує, що в Ethereum небезпека сидить не лише в коді смарт-контракту, а й у самій торговій логіці, якщо вона діє занадто автоматично. Саме тут бот і спіткнувся.

Чому ця атака вдарила саме по MEV-боту?

Тут усе трималося на довірі алгоритму до сигналів, які він сам вважав прибутковими. Атакувальник не ламав чужий контракт у класичному сенсі. Він підсунув боту десятки фальшивих токенів, серед них fWETH, fUSDC і fUSDT, які виглядали як вигідні арбітражні можливості.

За даними дослідників, пастку будували кілька тижнів. CTO Blockaid Раз Нів описав це як counter-MEV honeypot. І це важлива деталь: мова не про один різкий злам, а про довгу гру, де бота підводили до потрібної поведінки крок за кроком. Ось чому такі схеми важко помітити на ранній стадії.

Після перших тестових транзакцій усе виглядало буденно. Дозволи видавалися і одразу використовувалися, тому підозри не виникало. Потім механіку змінили. Бот продовжив видавати approvals, але вже без негайного використання. Саме так у зловмисника накопичилися активні права на списання коштів.

Реакція ринку

Історія швидко розійшлася по криптоспільноті, бо JaredFromSubway давно мав репутацію одного з найвідоміших MEV-ботів Ethereum. Коментатори нагадали, що цей кошелек роками працював на сэндвіч-атаках. Тепер роль змінилася. Хижак сам став здобиччю.

«Це не класична фішинг-атака і не традиційна вразливість смарт-контракту жертви», зазначили в Blockaid. Саме маніпуляція логікою автоматизованого виконання дала атакувальнику доступ до коштів.

Є й ширший фон. У 2023 році JaredFromSubway уже був дуже помітним у мережі: за даними The Block, які посилалися на EigenPhi, за перші три місяці активності бот провів 238 000 атак проти понад 106 000 жертв. А CoinDesk раніше оцінював сукупний MEV в Ethereum у понад $1,2 млрд, з яких близько 51% припадало на sandwich-атаки. Це пояснює, чому будь-який збій у такому боті викликає стільки шуму.

  • Потеря оцінюється в діапазоні від $7,5 млн до понад $15 млн.

  • У схемі використали 66 фальшивих токен-контрактів.

  • Один із дозволів стосувався більш ніж 92 WETH.

  • Найбільший окремо згаданий переказ становив 1 423 ETH, або близько $2,46 млн.

  • Частину викрадених коштів, за повідомленнями, уже прогнали через Tornado Cash.

Що означає цей випадок для інвесторів?

Для звичайних користувачів Ethereum ця історія має простий висновок: автоматизація без жорсткого контролю може обернутися проти того, хто її запускає. Якщо бот або гаманець регулярно підписує approvals, зловмисник може накопичити дозвіл і використати його пізніше, коли увага вже спаде. Саме так, схоже, і сталося тут.

Для українських трейдерів це теж не абстрактна тема. Багато хто працює з WETH, USDC і USDT, а отже стикається з тим самим ризиком фальшивих токенів, підроблених пулів і шкідливих контрактів. У 2025 році Blockaid уже повідомляла про понад 54 000 підроблених токенів, що імітували топ-20 стейблкоїнів, зокрема понад 34 000 копій USDT і близько 12 000 копій USDC. Це великий фон, на якому такі атаки й народжуються.

Є ще один практичний момент. Якщо ви працюєте з Ethereum і часто підписуєте дозволи, варто час від часу перевіряти активні approvals і не тримати зайвих прав на довго. Саме ця дрібниця часто вирішує, чи втратите ви кошти одразу, чи ні. Якщо потрібно швидко продати USDT TRC20 на Monobank, це теж краще робити після перевірки адрес і дозволів.

Часті запитання

Що таке MEV-бот і чому його взагалі можна обманути?

MEV-бот шукає прибуток у різниці цін і порядку транзакцій у блокчейні. Якщо йому підкинути фальшиві токени або пули, він може сприйняти їх як вигідну можливість і сам видати дозволи на списання коштів.

Чому в цій атаці згадують саме approvals?

Approvals дають контракту право витрачати активи користувача або бота. У цьому випадку зловмисник накопичив такі дозволи, а потім використав їх для фінального виведення коштів через transferFrom.

Чи можна сказати, що це злам Ethereum?

Ні. Йдеться про атаку на конкретний MEV-бот, а не про злам самої мережі Ethereum. Але інцидент показує, що слабке місце може бути не в блокчейні, а в інструментах, які працюють поверх нього.

Ця історія ще довго нагадуватиме, що в крипті швидкість без перевірки часто коштує дорого. Іноді навіть тому, хто звик полювати на інших, доводиться тікати самому.

Даний матеріал не є фінансовою рекомендацією. Торгівля криптовалютами пов'язана з ризиками. Частину тексту підготовлено з використанням штучного інтелекту на основі відкритих джерел та перевірено редакцією.