Ведущий MEV бот Ethereum, Jaredfromsubway.eth, по сообщениям, был опустошён на более чем $7.5 миллионов после того, как злоумышленник воспользовался уязвимостями в автоматизированном процессе исполнения бота. Этот инцидент подчеркивает критический, часто недооценённый риск для инфраструктуры MEV: как только боту доверяют разрешения, злоумышленникам нужно лишь обмануть его, чтобы получить нужные одобрения для перемещения средств.
Согласно Blockaid, злоумышленник использовал контракты, контролируемые им, чтобы манипулировать автоматизированной системой MEV Jaredfromsubway.eth, вынуждая её выдавать токен-одобрения, которые позже использовались для вывода средств. Blockaid описал это событие как не классическую фишинговую атаку и не простую уязвимость смарт-контракта в контрактах жертвы бота.
Ключевые выводы
Blockaid приписывает кражу злонамеренным одобрениям: контракты, контролируемые нападающим, заставили Jaredfromsubway.eth разрешить расходы перед тем, как собрать средства.
Атака была «контр-MEV» по дизайну, нацеливаясь на доверие минимизированной логики принятия решений и конвейера исполнения бота, а не пытаясь напрямую скомпрометировать частные ключи бота.
Фальшивые токены и артефакты ликвидности сыграли центральную роль, при этом нападающий развернул десятки контрактов, которые были призваны имитировать основные активы и площадки Ethereum.
Событие подчеркивает системную подверженность MEV — даже боты, которые нацелены на прибыльные возможности, могут стать обязательствами, если они одобрят неправильные разрешения на расходы.
Что говорит Blockaid о произошедшем
В своем отчете о инциденте Blockaid заявил, что основной шаг нападающего заключался в эксплуатации того, как работают автоматические MEV боты: они мониторят активность, а затем исполняют сделки на основе того, что кажется прибыльными возможностями на блокчейне. В этом случае «прибыльные» пути были установлены нападающим, используя контракты, которые вели себя как приманка.
Blockaid отметил, что событие в субботу не похоже на типичный сценарий фишинга, и его не охарактеризовали как традиционную ошибку смарт-контракта в логике жертвы бота. Вместо этого акцент был сделан на самой системе автоматического исполнения — в частности, на шагах одобрения токенов, которые позволяют боту взаимодействовать с активами и вспомогательными контрактами во время операций MEV.
«Хонейпот», нацеленный на одобрения бота
Главный технический директор Blockaid, Раз Нив, сообщил Cointelegraph, что атака функционировала как контр-MEV хонейпот. Стратегия, объяснил он, заключалась в том, чтобы нацелиться на минимизированную логику принятия решений бота — ту часть, которая определяет, какие сделки преследовать и какие контракты наделять полномочиями.
На протяжении нескольких недель нападающий якобы развернул 66 поддельных контрактов токенов, созданных для имитации знакомых активов, таких как Wrapped ETH (WETH), USDC и USDT, сочетая их с фальшивыми ликвидными пулами. Цель заключалась в создании видимости торговых возможностей, которые автоматические системы, такие как Jaredfromsubway.eth, запрограммированы искать.
Как только бот взаимодействовал с этими поддельными контрактами, Jaredfromsubway.eth, по сообщениям, одобрил определенные вспомогательные контракты, контролируемые нападающим, которые позже будут использованы для перемещения реальных средств. Как сказал Нив, бот фактически передал «ключи» от своей казны — важное напоминание о том, что одобрения могут быть столь же опасны, как уязвимости, когда речь идет об автоматизации.
«А затем в одной транзакции нападающий вызвал все 66 бэкдоров и собрал все ETH, USDC и USDT на этих адресах, что составило миллионы долларов.»
Почему это имеет значение за пределами одного кошелька
MEV боты обычно описываются как автоматизация, которая сканирует неподтвержденную или ожидающую активность и затем переупорядочивает или манипулирует транзакциями для извлечения прибыли. Делая это, они могут навязывать «невидимый налог» пользователям DeFi — проблема, которая привлекла значительное внимание исследователей на протяжении многих лет.
Ранее исследования Cointelegraph показали, что сэндвич-атаки на Ethereum привели к примерно $60 миллионов годовых убытков для трейдеров, при этом анализ также сообщил о 60,000 до 90,000 сэндвич-атак в месяц с ноября 2024 года по октябрь 2025 года. То же исследование указало, что около 70% этих атак были связаны с Jaredfromsubway.eth.
Это новое развитие переносит внимание с методов извлечения прибыли бота на предположения о безопасности, которые поддерживают те же операции. Когда система MEV зависит от автоматических одобрений и путей исполнения, нападающим может не понадобиться ломать криптографию или использовать уязвимость в контрактах жертвы. Им может понадобиться лишь создать взаимодействия на блокчейне, которые заставят бота разрешить расходы на адреса, контролируемые нападающим.
Достижения MEV шире, чем люди осознают
Хотя этот зарегистрированный слив является самым серьезным исходом, Cointelegraph отметил другой случай с участием Jaredfromsubway.eth: в мае соучредитель Ethereum Виталик Бутерин стал жертвой сэндвич-атаки, когда обменивал 26,544 DigitalBits (стоимостью $2.11 на момент написания Cointelegraph). Убытки в этом случае, по сообщениям, были небольшими, но это подчеркивает, что MEV боты могут нацеливаться даже на относительно скромные транзакции.
Основной момент для участников рынка заключается в том, что деятельность MEV не ограничивается высокопрофильными сделками. Она может охватывать условия ликвидности и размеры транзакций, в зависимости от того, как возможности появляются перед ботами в реальном времени. Для пользователей и интеграторов эта реальность стала частью продолжающейся дискуссии о справедливости, прозрачности и том, как зашифрованная инфраструктура транзакций меняет стимулы для противников.
Это также напоминание о том, что грань между нападающим и жертвой в MEV часто бывает тоньше, чем предполагает общественное мнение. Те же операционные модели, которые позволяют извлечение прибыли, могут быть подорваны — особенно когда ботам необходимо принимать быстрые решения по исполнению и предоставлять разрешения без полной уверенности в контрагентах, с которыми они имеют дело.
В дальнейшем инвесторы, пользователи DeFi и разработчики должны следить за двумя сигналами: вызывает ли этот инцидент более широкую проверку того, как MEV боты обрабатывают одобрения и «вспомогательные» контракты, и появляются ли аналогичные тактики «контр-MEV хонейпота» против других автоматизированных систем. Технические детали неправомерного использования одобрений токенов часто переносимы, и следующая уязвимость может быть меньше связана с идентичностью одного бота и больше с общими автоматизированными моделями, на которых полагаются многие инструменты MEV.
Эта статья изначально была опубликована как MEV Bot Using Jaredfromsubway.eth Drains $7.5M in Exploitation на Crypto Breaking News – вашем надежном источнике новостей о криптовалютах, новостях о Биткойне и обновлениях блокчейна.