Неизвестные вывели 1583,5 эфиров на $2,75 млн, 2,87 млн USDC и 2,09 млн USDT. Злоумышленники уже обменяли все средства на 4427 эфиров стоимостью млн 7,7 млн. 1000 эфиров было внесено в миксер TornadoCash для отмывания денег.
Злоумышленники нацелились на систему принятия решений бота, утверждают аналитики компании Blockaid. Атака готовилась несколько недель. Хакеры развернули на разных площадках десятки поддельных контрактов токенов и фальшивых пулов ликвидности, которые выглядели как выгодные сделки. Некоторые имитировали знакомые активы — например, обернутый эфир (WETH) и привязанные к доллару стейблкоины USDC и USDT.
Бот Jaredfromsubway.eth воспринял приманку как возможность для так называемой «сэндвич‑атаки» и выдал разрешения вспомогательным контрактам под контролем злоумышленника тратить токены от его имени. На ранних тестах эти разрешения использовались сразу в рамках сделки, но позже злоумышленник создал маршруты, где разрешения оставались открытыми. Это дало постоянное право выводить средства. Так он смог перевести WETH, USDC и USDT из контрактов Jaredfromsubway.eth.
«Сэндвич‑атака» — разновидность получения максимальной извлекаемой стоимости (MEV). Схема работает так: автоматизированная система обнаруживает ожидающую подтверждения транзакцию, покупает токены перед ней (front‑running), позволяет жертве провести сделку по худшей цене, а затем сразу продает (back‑running). В результате пользователи незаметно делают небольшой взнос, который в сумме, по тысячам сделок, может оказаться весьма значительным. Чаще всего бот охотился на пулы ликвидности с низким объемом для мемкоинов на DEX‑платформах Эфириума. Оператор бота стабильно входил в число крупнейших плательщиков комиссий в сети.
«Сэндвич‑атаки» обходятся трейдерам Эфириума примерно в $60 млн: с ноября 2024 года по октябрь 2025 года фиксировалось от 60 000 до 90 000 таких атак ежемесячно. Примерно 70% из них были связаны с Jaredfromsubway.eth, подсчитали журналисты CoinDesk. В пиковые трехмесячные периоды валовая выручка Jaredfromsubway превышала $34–40 млн. Предположительно, этот бот даже провел «сэндвич‑атаку» против небольшого свопа сооснователя Эфириума Виталика Бутерина. Бот выделил $1,14 млн, чтобы опередить сделку Бутерина, но заработал всего $4 после вычета комиссий.
Параллельно с атакой на бот произошел взлом пула ликвидности пары токенов OLPC/LABUBU на платформе PancakeSwap V2, работающей с блокчейном BNB Chain. Злоумышленники заработали на атаке около $1,1.