В субботу, 21 июня, один из самых известных MEV-ботов в криптоиндустрии лишился более $7.5 млн. Jaredfromsubway.eth годами атаковал DeFi-трейдеров на Ethereum через сэндвич-атаки. На этот раз злоумышленник подготовил ему точно такую же ловушку и вывел все средства за одну транзакцию.
Кто такой Jaredfromsubway.eth и откуда у него миллионы?
MEV, или maximal extractable value, означает прибыль, извлекаемую из блокчейна через манипуляции порядком транзакций. Перед подтверждением каждая транзакция попадает в мемпул, то есть зону ожидания на узлах сети. MEV-боты сканируют её постоянно и вставляют свои транзакции перед чужими или после них, чтобы заработать на разнице цен.
Самая распространенная техника называется сэндвич-атакой. Бот замечает крупную покупку токена, покупает тот же токен первым, ждет, пока оригинальная транзакция поднимет цену, и продает с прибылью. Жертва платит больше, чем планировала. Все происходит в пределах одного блока, за доли секунды.
Jaredfromsubway.eth долгое время доминировал среди таких ботов. По данным Cointelegraph Research, с ноября 2024 по октябрь 2025 он отвечал за 70% всех сэндвич-атак на Ethereum. В месяц происходило от 60 000 до 90 000 атак, а суммарные потери трейдеров превышали $60 млн в год. В мае 2026 года жертвой бота стал даже Виталик Бутерин, когда конвертировал токены DigitalBits: потери оказались минимальными, но факт облетел все крипто-издания.
Как злоумышленник готовил атаку несколько недель
Никто не взломал бот за одну ночь. Подготовка заняла несколько недель.
По данным компании Blockaid, которая первой зафиксировала инцидент, злоумышленник постепенно развернул 66 фиктивных токен-контрактов. Каждый из них имитировал название и программный интерфейс реальных активов: Wrapped ETH (WETH), USDT или USDC. К фейкам добавили искусственные пулы ликвидности, которые выглядели как выгодные сделки для MEV-стратегий.
Цель всей подготовки проста: заставить бот самостоятельно одобрить право хелпер-контрактов злоумышленника на расходование реальных средств. MEV-боты запрограммированы автоматически взаимодействовать с любым контрактом, который выглядит как прибыльный арбитраж. Проверки репутации контрагента в их логике нет. Бот выдал нужные разрешения, даже не догадываясь о ловушке.
Одна транзакция, 66 бэкдоров: как все произошло
Исполнительная часть атаки оказалась короткой. Когда все 66 контрактов накопили нужные разрешения от бота, злоумышленник запустил одну транзакцию, активировавшую все бэкдоры одновременно. ETH, USDC и USDT перешли к злоумышленнику за секунды. Часть средств сразу отправили через криптомиксер Tornado Cash.
CTO Blockaid Раз Нив объяснил схему: "Это не классическая фишинговая атака и не традиционная уязвимость смарт-контракта в контракте жертвы. Это контр-MEV-медовый горшок, целенаправленно бивший по автоматизированной логике принятия решений MEV-ботов." Механизм самого бота сработал против него.
Как разворачивалась атака поэтапно:
- Подготовка (несколько недель): злоумышленник постепенно развернул 66 фиктивных контрактов, имитирующих WETH, USDC и USDT по названию и интерфейсу
- К каждому токену привязали искусственные пулы ликвидности, похожие на реальный арбитраж
- Бот автоматически взаимодействовал с фейками и выдал хелпер-контрактам злоумышленника права расходовать реальные средства
- Финальный удар (одна транзакция): все 66 бэкдоров активированы одновременно, средства выведены
- Украденные средства частично отправлены через Tornado Cash
Что это означает для DeFi-трейдеров?
Реакция сообщества оказалась неоднозначной. Трейдеры, годами терявшие деньги на сэндвич-атаках, не скрывали удовлетворения. Инвестор Дэвид Гохштейн написал: "Мы не должны радоваться... но если вас когда-то сэндвичировал этот бот, вы точно не расстроены этими новостями."
Технически этот инцидент открывает новую страницу в конкуренции MEV-операторов. Контр-MEV-атаки обсуждались теоретически, но этот случай показал их практическую работоспособность. Операторы подобных ботов теперь вынуждены думать, с какими контрактами их системы взаимодействуют автоматически и какие права при этом предоставляют.
Для обычного DeFi-пользователя прямая угроза минимальна. Но если вы выдаете аппрувалы сторонним контрактам или используете автоматизированные стратегии, полезно периодически проверять их состояние. Ethereum остается открытой сетью, где и атаки, и защита одинаково доступны всем участникам.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *