MEV-бот JaredFromSubway взломан в результате кражи криптовалюты на 15 миллионов долларов
JaredFromSubway, один из самых известных MEV-ботов в блокчейне Ethereum, подвергся кибератаке на 15 миллионов долларов после того, как злоумышленники манипулировали логикой бота, создавая поддельные торговые возможности. Атакующий использовал механизмы автоматического одобрения бота для захвата активов в WETH, USDC и USDT.
Что произошло
Мир криптовалют был потрясен новостью о крупном кибер-ограблении, нацеленном на MEV-бота JaredFromSubway, одну из самых агрессивных и известных автоматизированных торговых систем в блокчейне Ethereum. Согласно информации, обнародованной 22 июня 2026 года, из операционных кошельков бота были украдены цифровые активы на сумму около 15 миллионов долларов. Инцидент был впервые обнаружен в субботу фирмой по безопасности блокчейна Blockaid. Вскоре после этого оператор бота, JaredFromSubway, подтвердил атаку, заявив, что злоумышленник использовал поддельные пулы и токены, чтобы обмануть логику обнаружения возможностей бота.
Эта атака представляет собой нечто большее, чем обычное нарушение безопасности. MEV-боты (Maximal Extractable Value) по своей природе являются чрезвычайно сложными и высокоскоростными системами, которые стремятся получить прибыль, манипулируя порядком и временем транзакций в блокчейне. Эти боты сканируют ожидающие транзакции перед их включением в блоки и стремятся получить большую прибыль от небольших разниц в ценах с помощью таких стратегий, как арбитраж, ликвидации или «сэндвич-атаки». Бот JaredFromSubway был известен как один из самых активных игроков в этой области. Однако на этот раз охотник стал добычей. Злоумышленник превратил автоматизацию бота, ориентированную на прибыль, в оружие, использовав систему против ее собственного создателя и успешно присвоив значительную сумму средств.
Какие данные были украдены
В результате атаки были украдены не личные данные пользователей или учетные данные, а непосредственно ликвидность, находящаяся под контролем бота. Целью стали три различные криптовалюты, хранящиеся в операционном кошельке JaredFromSubway и используемые для его торговых стратегий. Распределение украденных активов выглядит следующим образом:
Ваш email в утечке? Проверьте бесплатно — результат за секунды.
Проверить →- WETH (Wrapped Ether): Версия Ethereum, совместимая со стандартом ERC-20, широко используемая на платформах децентрализованных финансов (DeFi).
- USDC (USD Coin): Широко используемый стейблкоин, привязанный к доллару США.
- USDT (Tether): Один из крупнейших стейблкоинов на рынке, также привязанный к стоимости доллара США.
Общая стоимость этих трех активов была оценена примерно в 15 миллионов долларов. Целью атаки была ликвидность горячего кошелька, которую бот держал наготове для мгновенной торговли. Злоумышленник использовал собственные внутренние механизмы бота и его взаимодействия со смарт-контрактами, чтобы перевести эти средства непосредственно на кошельки под своим контролем. Это демонстрирует, насколько тщательно была спланирована атака, и предполагает глубокое понимание принципов работы бота. Украденные средства представляли собой основной капитал оператора, и эта потеря может серьезно повлиять на будущее операции.
Как произошла атака
Согласно информации, предоставленной Blockaid и JaredFromSubway, атака была осуществлена по очень сложному и многоэтапному плану. Злоумышленник нацелился на основной принцип работы бота: его способность автоматически обнаруживать и исполнять выгодные торговые возможности. Технические этапы атаки можно обобщить следующим образом:
1. Создание поддельных возможностей: Злоумышленник создал поддельные смарт-контракты и токены, разработанные таким образом, чтобы попасть в поле зрения бота JaredFromSubway. Эти контракты были созданы так, чтобы выглядеть как чрезвычайно прибыльные MEV-возможности.
2. Завоевание доверия и тестирование: Злоумышленник действовал осторожно. Первоначально он проводил безвредные тестовые транзакции, чтобы подтвердить реакцию бота и его автоматизированные процедуры. Эти транзакции заставили бота воспринять поддельные возможности как реальные и сгенерировать ответные транзакции. На этом этапе бот предоставил одобрения на расходование токенов ERC-20 «вспомогательным контрактам» (helper contracts), контролируемым злоумышленником.
3. Накопление одобрений: Это ключевой момент атаки. Обычно после завершения транзакции предоставленное разрешение на расходование (allowance) должно быть либо использовано, либо отозвано. Однако злоумышленник хитро изменил маршрут транзакции, чтобы предоставленные ботом одобрения не использовались и не отзывались. Это позволило ему накапливать разрешения на расходование от каждой «поддельной» транзакции. Со временем на один из контролируемых злоумышленником вспомогательных контрактов накопилось значительное количество одобрений, например, 92.1614 WETH.
4. Финальное ограбление: Накопив достаточное количество действительных разрешений на расходование, злоумышленник сделал свой последний ход. Он одновременно активировал все накопленные одобрения, используя функцию transferFrom, являющуюся частью стандарта ERC-20 Ethereum. Эта функция позволяет одному кошельку предоставить другому разрешение на перевод своих активов. Злоумышленник использовал эти накопленные разрешения для вывода WETH, USDC и USDT из кошелька бота JaredFromSubway, завершив ограбление на 15 миллионов долларов.
Кто пострадал
Прямой и основной жертвой этой атаки является оператор MEV-бота JaredFromSubway. Однако инцидент имеет более широкие последствия и косвенные эффекты в экосистеме криптовалют. Как подразумевается фразой «Карма наносит ответный удар» (Karma slaps back) в исходной статье, сфера деятельности бота весьма противоречива.
JaredFromSubway был известен как один из самых агрессивных ботов на рынке, особенно благодаря использованию «сэндвич-атак». Сэндвич-атака работает следующим образом: бот обнаруживает ожидающую транзакцию, например, крупный ордер на покупку от пользователя. Затем он размещает ордер на покупку за мгновение до этой транзакции (front-running). Когда транзакция пользователя исполняется, цена актива растет. Затем бот немедленно продает свои активы (back-running), чтобы получить прибыль от разницы в цене. Хотя этот процесс приносит прибыль оператору бота, он приводит к тому, что обычный пользователь, совершивший исходную транзакцию, покупает по худшей цене. По этой причине такие стратегии MEV-ботов многими считаются неэтичными и хищническими. В этом контексте взлом системы, предназначенной для извлечения прибыли из транзакций других, был встречен в сообществе с чувством иронии.
Что вы можете сделать
Хотя эта атака была направлена непосредственно на оператора MEV-бота, использованные методы и выявленные риски содержат важные уроки для всех пользователей криптовалют.
- Проверяйте свои одобрения токенов: Самым фундаментальным механизмом, использованным в атаке, были одобрения токенов ERC-20. Регулярно проверяйте разрешения на расходование токенов, которые вы предоставили децентрализованным приложениям (dApps). Используйте инструменты, такие как «Token Approvals Checker» в обозревателях блокчейна, например, Etherscan, чтобы отозвать одобрения, выданные платформам, которыми вы больше не пользуетесь или которым не доверяете. По возможности избегайте предоставления неограниченных одобрений.
- Используйте защиту от MEV: Как обычный пользователь, вы можете использовать сервисы RPC (Remote Procedure Call), которые предлагают защиту от MEV (например, Flashbots Protect), чтобы предотвратить попадание ваших транзакций в «сэндвич-атаки». Эти сервисы отправляют ваши транзакции по частному каналу непосредственно майнерам, не позволяя MEV-ботам видеть и эксплуатировать их.
- Уроки для разработчиков: Если вы являетесь оператором бота или разработчиком смарт-контрактов, этот инцидент демонстрирует, насколько чувствительной может быть логика автоматизации. Тщательно проверяйте блоки кода, которые предоставляют разрешения на расходование. Тестируйте свою систему на предмет потенциальных манипуляций и используйте одноразовые или ограниченные по сумме одобрения. Аудиты безопасности и системы обнаружения аномалий играют решающую роль в предотвращении подобных сложных атак.
Что говорит компания
После атаки оператор JaredFromSubway попытался связаться со злоумышленником для возврата украденных средств. Первоначально злоумышленнику было предложено вознаграждение в размере 3 миллионов долларов за полный возврат средств с обещанием не предпринимать никаких юридических действий.
Когда это предложение не получило ответа, оператор попытался сделать сделку более привлекательной. Новое предложение запрашивало возврат только половины украденной суммы (около 7,5 миллионов долларов). Взамен злоумышленнику разрешалось оставить вторую половину в качестве вознаграждения в размере 7,5 миллионов долларов. Также было добавлено, что в случае достижения соглашения 1 миллион долларов будет распределен среди сообщества.
По последней информации, JaredFromSubway в настоящее время ведет переговоры с «группой белых хакеров» по поводу украденных 15 миллионов долларов. Однако подтверждения того, что эти переговоры привели к сделке, пока нет. Отчаянные попытки оператора вернуть средства еще раз подчеркивают, насколько рискованными и уязвимыми могут быть операции MEV.