Что произошло
20 июня 2026 года печально известный MEV-бот Jaredfromsubway.eth сам стал жертвой эксплойта и лишился около $7,5 млн. Атакующий применил «контр-MEV» стратегию: годами бот наживался на чужих сделках через сэндвич-атаки, а на этот раз его собственную логику обернули против него. Инцидент обнаружила компания Blockaid.
Детали
- Сумма потерь — около $7,5 млн (по данным Blockaid и Cointelegraph на 20 июня 2026 года).
- Технический директор Blockaid Раз Нив описал схему как «контр-MEV honeypot»: атакующий неделями разворачивал поддельные контракты — всего 66 фальшивых токенов, имитирующих Wrapped ETH, USDC и USDT, в паре с приманочными пулами ликвидности.
- Когда бот «клюнул» и выдал разрешения (approvals) контрактам атакующего, тот вызвал все 66 «бэкдоров» и смёл весь ETH, USDC и USDT.
- Масштаб бота: с ноября 2024 по октябрь 2025 года на него приходилось около 70% всех сэндвич-атак в Ethereum, при 60 000–90 000 таких атак в месяц.
Что это значит
Кого касается: в первую очередь операторов MEV-ботов, но косвенно — и обычных DeFi-трейдеров на Ethereum, которые годами теряли деньги именно на сэндвич-атаках этого бота. Риск или возможность: эпизод показывает, что агрессивные MEV-боты сами уязвимы — слепое доверие он-чейн-логики к «выгодным» пулам превращается в вектор атаки на $7,5 млн. Для трейдера практический вывод тот же, что и всегда: проверять контракты перед approve и отзывать лишние разрешения. Горизонт: для самого бота последствия мгновенные — средства уже выведены; для рынка сэндвич-атак выпадение игрока, на которого приходилось до 70% объёма, может краткосрочно снизить MEV-давление на сделки в Ethereum.
Контекст
Сэндвич-атака — это когда бот видит вашу сделку в мемпуле, ставит свою заявку прямо перед ней и сразу после, зарабатывая на сдвиге цены за ваш счёт. Jaredfromsubway.eth был самым активным таким ботом в сети и не раз «сэндвичил» даже крупных участников рынка.
