JaredFromSubway.eth, один из самых печально известных ботов Ethereum (ETH) для sandwich-атак, лишился более $7,5 миллиона после того, как злоумышленники обратили его собственную торговую автоматизацию против него.
Ключевые моменты:
- JaredFromSubway.eth потерял более $7,5 миллиона, когда его торговая автоматика одобрила контракты, контролируемые злоумышленником.
- Злоумышленник в течение нескольких недель размещал 66 поддельных токенов и фиктивных пулов ликвидности, чтобы приманить бота.
- Часть украденных средств прошла через Tornado Cash, а личность атакующего по-прежнему неизвестна.
JaredFromSubway.eth выведен через honeypot-ловушку
Код не был взломан.
Бот был опустошён в субботу после того, как его автоматизированная система одобрила расходование токенов для контрактов под контролем атакующего, фактически передав ему ключи от собственной казны. Компания по безопасности Blockaid обратила внимание на инцидент, исключив как фишинговую схему, так и какую-либо уязвимость в контракте жертвы, из которого были выведены средства.
Raz Niv, технический директор Blockaid, описал операцию как counter-MEV honeypot — ловушку, построенную, чтобы эксплуатировать логику минимизации доверия, на которую незаметно полагаются автоматизированные трейдеры. Она нацелилась именно на то, за чем бот был создан охотиться.
В течение нескольких недель злоумышленник разместил 66 поддельных токенов, копирующих названия Wrapped Ether, USDC (USDC) и Tether (USDT), а затем связал их с фальшивыми пулами ликвидности. Эти пулы выглядели как лёгкий арбитраж — именно такая прибыль, которую бот ищет в мемпуле, чтобы опередить сделки в каждом блоке. Одна транзакция вывела сразу все три.
Также читайте: XRP сталкивается с тестом на кредитное плечо, поскольку спрос на ETF в $1,44 млрд встречает распродажу
MEV-боты сталкиваются с проблемой доверия
Переворот особенно болезненный, потому что бот входит в число самых ненавистных криптоприбыльных машин: он работает с 2023 года и, по сообщениям, принёс десятки миллионов за счёт трейдеров, которые даже не видели, как ордера замыкаются вокруг их свопов.
Его оператор уже давно входит в число крупнейших потребителей газа в Ethereum, временами сжигая более двухсот Ether за один день, чтобы занять первое место в каждом блоке.
Исследователи связывают около 70% всех sandwich-атак в Ethereum с этим ботом — практикой, которая, по оценкам, ежегодно обходится трейдерам сети примерно в $60 миллионов или больше. Немногие испытали сочувствие. Sandwich-бот ставит один ордер прямо перед ожидаемой сделкой, а другой — сразу после неё, а затем забирает ценовой разрыв, созданный им же, как невидимый налог для обычных пользователей, которые редко это замечают.
Криптоинвестор David Gokhshtein предостерёг от празднования, хотя и признал, что любой, кого когда-либо «зажимал» этот бот, теперь вряд ли сможет его пожалеть. Часть украденных средств уже прошла через Tornado Cash.
Этот вывод средств завершает долгую и агрессивную серию. В мае бот «зажал» сооснователя Ethereum Vitalik Buterin во время небольшой сделки со свопом токена — знак того, что его внимание привлекали даже самые известные кошельки, пусть и с небольшим убытком. Потеря в субботу стала редким и дорогостоящим провалом для операции, которая более двух лет работала практически безнаказанно, и следователи всё ещё отслеживают, куда ушло остальное.
Читать далее: Почему Трамп смягчил свою позицию по угрозе Anthropic после G7?