Самый большой MEV-бот Ethereum лишился $7,5 млн из-за атаки в его собственном стиле

Jaredfromsubway.eth, один из самых печально известных MEV-ботов Ethereum, был ограблен более чем на $7,5 млн после того, как злоумышленник настроил против него собственную логику автоматической торговли бота.

Бот известен сэндвич-атаками, формой максимальной извлекаемой стоимости, или MEV, при которой автоматический трейдер обнаруживает ожидающую транзакцию, покупает до нее, позволяет жертве торговать по худшей цене, а затем сразу же продает.

Результатом является небольшой скрытый налог на пользователей, который может накапливаться в результате тысяч сделок.

Сэндвич-атаки обычно не являются формой эксплойта, но в криптовалютных кругах рассматриваются как тип хищнического поведения, которое лишает пользователей выгоды, приводит к резкому увеличению платы за газ и не приносит пользы ни сети, ни пользователю.

Рисунок 1.

Охранная фирма Blockaid заявила, что субботний инцидент не был обычной фишинговой атакой или простой ошибкой в ​​контракте жертвы. Вместо этого злоумышленник нацелился на систему принятия решений бота.

Установка была построена в течение нескольких недель, в ходе которых злоумышленник развернул десятки фальшивых контрактов токенов и фальшивых пулов ликвидности (термин, обозначающий множество токенов, заблокированных на децентрализованной бирже), которые выглядели как прибыльные сделки. Некоторые имитировали такие знакомые активы, как wrapped  Ethereum (WETH) и привязанные к доллару стейблкоины USDC и USDT.

Эта приманка сработала. Бот Jaredfromsubway.eth увидел то, что выглядело как возможности MEV, и выдал разрешения на контролируемые злоумышленниками вспомогательные контракты на расходование токенов от его имени. Эти разрешения использовались сразу же как часть обмена в более ранних тестах, но позже злоумышленник создал маршруты, в которых разрешения оставались открытыми.

В результате злоумышленник получил постоянное разрешение на вывод средств. И он использовал эти открытые разрешения для вывода WETH, USDC и USDT из контрактов Jaredfromsubway.eth, украв более $7,5 млн

Позже некоторые из украденных средств были отправлены в Tornado Cash, как показали данные ончейна.

Рисунок 2.

Иронию ситуации трудно не заметить.

Jaredfromsubway.eth уже давно является одним из наиболее заметных символов токсичного MEV на Ethereum. Сэндвич-атаки обходятся трейдерам Ethereum примерно в $60 млн в год, при этом в период с ноября 2024 года по октябрь 2025 года совершалось от 60 000 до 90 000 атак в месяц.

Примерно 70% этих атак были связаны с Jaredfromsubway.eth, который активен с начала 2023 года.

В мае сообщалось, что тот же бот даже заложил небольшой своп сооснователя Ethereum Виталика Бутерина. Он вложил $1,14 млн, чтобы опередить сделку Бутерина и заработать всего 4 доллара (после комиссий бот получил несколько долларов от этой конкретной сделки).

Сделка стоила всего несколько долларов, а потери были крошечными, но это показывало, насколько индустриализированным стал бот. Он сканировал мемпул на предмет практически всего, что мог использовать.

Хотя субботний инцидент не делает сэндвич-атаки менее опасными, он показывает риск использования систем, которые одобряют транзакции на машинной скорости на основе распознавания образов и сигналов прибыли.

Jaredfromsubway.eth потратил годы на получение прибыли от трейдеров, которые не предвидели появления бота. Но в субботу сам бот не увидел предстоящей сделки.

Источник: www.block-chain24.com