В минувшие выходные стало известно, что один из самых активных сэндвич-атакующих в сети Ethereum, известный под доменом JaredfromSubway.eth, понёс убытки в размере от 7,5 до 15 миллионов долларов. Инцидент произошёл 20–21 июня 2026 года, когда бот стал жертвой так называемой «MEV-ловушки». Об этом сообщили аналитические компании Chainalysis и BlockSec.
Злоумышленник разработал и развернул 66 фальшивых токен-контрактов, имитирующих реальные активы децентрализованного рынка. Автоматизированный торговый алгоритм JaredfromSubway.eth, работающий в сети с 2023 года, распознавал эти контракты как привлекательные возможности и выдавал разрешения на расходование средств, не отзывая их впоследствии. Именно накопление бессрочных разрешений стало критической уязвимостью.
После того как бот предоставил достаточное количество одобрений, сработал специальный «контракт-ловушка», и в ходе одной скоординированной транзакции все средства — эфир и стейблкоины — были выведены с кошелька бота. По данным Chainalysis, похититель немедленно конвертировал стейблкоины в ETH, чтобы избежать блокировки адресов эмитентами, а затем, раздробив капитал на множество промежуточных кошельков, отправил активы в миксер Tornado Cash для сокрытия следов.
Эксперты отмечают, что JaredfromSubway.eth был нацелен на скорость проведения операций в ущерб базовым проверкам, что и позволило злоумышленнику подменить реальные токены. «Этот случай подчёркивает риски накопления бесконтрольных разрешений для смарт-контрактов и важность своевременной ревизии одобрений», — говорится в отчёте Chainalysis. По состоянию на момент написания материала ни часть потерянных средств не была возвращена.
Данный инцидент вызвал широкий резонанс в криптосообществе, поскольку он не только демонстрирует ответный удар по операторам MEV, но и заставляет задуматься об уязвимостях автоматизированных торговых систем в целом.
