В суботу, 21 червня, один з найвідоміших MEV-ботів у криптоіндустрії втратив понад $7.5 млн. Jaredfromsubway.eth роками атакував DeFi-трейдерів на Ethereum і забирав частину кожної транзакції через сендвіч-атаки. Цього разу зловмисник підготував йому точно таку саму пастку і забрав усе за одну транзакцію.
Хто такий Jaredfromsubway.eth і звідки у нього мільйони?
MEV, або maximal extractable value, означає прибуток, що витягується з блокчейну через маніпуляції порядком транзакцій. Перед підтвердженням кожна транзакція потрапляє до мемпулу, тобто зони очікування на вузлах мережі. MEV-боти сканують її постійно і вставляють власні транзакції перед чужими або після них, щоб заробити на різниці цін.
Найпоширеніша техніка називається сендвіч-атакою. Бот помічає велику покупку токена, купує той самий токен першим, чекає, доки оригінальна транзакція підніме ціну, і продає з прибутком. Жертва платить більше, ніж планувала. Все відбувається у межах одного блоку, за частки секунди.
Jaredfromsubway.eth тривалий час домінував серед таких ботів. За даними Cointelegraph Research, між листопадом 2024 і жовтнем 2025 він відповідав за 70% усіх сендвіч-атак на Ethereum. Щомісяця відбувалося від 60 000 до 90 000 таких атак, а загальні збитки трейдерів перевищували $60 млн на рік. У травні 2026 року жертвою бота став навіть Віталік Бутерін, коли конвертував токени DigitalBits: втрати виявилися мінімальними, але сам факт облетів усі крипто-видання.
Як зловмисник готував атаку кілька тижнів
Нікого не зламали за одну ніч. Підготовка тривала тижнями.
За даними компанії Blockaid, яка першою зафіксувала інцидент, зловмисник поступово розгорнув 66 фейкових токен-контрактів. Кожен з них імітував назву та програмний інтерфейс реальних активів: Wrapped ETH (WETH), USDT або USDC. До фейків додалися штучні пули ліквідності, що виглядали як прибуткові угоди для MEV-стратегій.
Мета всієї підготовки проста: змусити бот самостійно схвалити право хелпер-контрактів зловмисника на витрачання реальних коштів. MEV-боти запрограмовані автоматично взаємодіяти з будь-яким контрактом, що виглядає як прибутковий арбітраж. Перевірки репутації контрагента в їхній логіці немає. Так бот надав потрібні дозволи, навіть не підозрюючи, що то пастка.
Одна транзакція, 66 бекдорів: як усе відбулося
Виконавча частина атаки виявилася короткою. Коли всі 66 контрактів накопичили потрібні дозволи від бота, зловмисник запустив одну транзакцію, що одночасно активувала всі бекдори. ETH, USDC і USDT перейшли до зловмисника за секунди. Частину коштів незабаром відправили через криптомiксер Tornado Cash.
CTO Blockaid Раз Нів пояснив схему так: "Це не класична фішинг-атака і не традиційна вразливість смарт-контракту в контракті жертви. Це контр-MEV-медовий горщик, що цілеспрямовано бив в автоматизовану логіку прийняття рішень MEV-ботів." Іншими словами, механізм самого бота спрацював проти нього.
Ось як розгорнулась атака поетапно:
- Підготовка (кілька тижнів): зловмисник поступово розгорнув 66 фейкових контрактів, що імітують WETH, USDC і USDT за назвою та інтерфейсом
- До кожного токена прив'язали фіктивні пули ліквідності, схожі на реальний арбітраж
- Бот автоматично взаємодіяв з фейками і надав хелпер-контрактам зловмисника права витрачати реальні кошти
- Фінальний удар (одна транзакція): усі 66 бекдорів активовані одночасно, кошти вилучені
- Вкрадені кошти частково відмито через Tornado Cash
Що це означає для тих, хто торгує в DeFi?
Реакція спільноти виявилася суперечливою. Трейдери, що роками втрачали гроші на сендвіч-атаках, не приховували задоволення. Інвестор Девід Гохштейн написав у соцмережах: "Ми не повинні радіти... але якщо вас колись сендвічував цей бот, ви точно не засмучені цими новинами."
Технічно цей інцидент відкриває нову сторінку в конкуренції MEV-операторів. Контр-MEV-атаки вже обговорювалися теоретично, але цей кейс показав їхню практичну ефективність. Оператори подібних ботів тепер змушені думати, з якими контрактами їхні системи взаємодіють автоматично і які права при цьому надають.
Для звичайного DeFi-трейдера пряма загроза мінімальна. Але якщо ви надаєте апрували стороннім контрактам або використовуєте автоматизовані стратегії, корисно час від часу перевіряти їхній стан. Ethereum залишається відкритою мережею, де і атаки, і захист рівнодоступні для всіх учасників.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *