JaredFromSubway.eth, один із найвідоміших ботів Ethereum (ETH), що здійснюють sandwich-атаки, був виведений із понад $7.5 мільйона після того, як зловмисники обернули його власну торгову автоматику проти нього.
Ключові моменти:
- JaredFromSubway.eth втратив понад $7.5 мільйона, коли його торгова автоматика схвалила контракти, контрольовані зловмисником.
- Зловмисник протягом кількох тижнів розмістив 66 фейкових токенів і підроблених пулів ліквідності, щоб виманити бота.
- Частину викрадених коштів уже переказали через Tornado Cash, а особа нападника досі невідома.
JaredFromSubway.eth вивели в пастці honeypot
Код не було зламано.
Бота спорожнили в суботу після того, як його автоматизована система схвалила витрати токенів для контрактів, контрольованих зловмисником, фактично передавши ключі від власної скарбниці. Компанія з безпеки Blockaid позначила інцидент, виключивши як фішингову схему, так і будь-яку ваду всередині контракту жертви, з якого було виведено кошти.
Raz Niv, технічний директор Blockaid, описав цю операцію як counter-MEV honeypot — пастку, створену для експлуатації логіки мінімізації довіри, на яку непомітно покладаються автоматизовані трейдери. Вона націлилася саме на те, за чим бот і був створений полювати.
Протягом кількох тижнів зловмисник розмістив 66 підроблених токенів, що копіювали назви Wrapped Ether, USDC (USDC) та Tether (USDT), а потім поєднав їх із фейковими пулами ліквідності. Ці пули виглядали як легкий арбітраж — саме той прибуток, який бот шукає в mempool, щоб у кожному блоці випередити інших. Одна транзакція забрала все одразу.
Також читайте: XRP проходить тест на кредитне плече, оскільки попит на ETF на $1.44B стикається з розпродажем
MEV-боти стикаються з проблемою довіри
Розворот ударив боляче, бо бот належить до найбільш ненависних прибуткових машин у крипті: він працює з 2023 року й, за повідомленнями, заробив десятки мільйонів на трейдерах, які навіть не бачили, як ордери оточують їхні свопи.
Його оператор давно входить до числа найбільших споживачів gas в Ethereum, іноді спалюючи понад двісті Ether за один день, щоб виграти позицію на чолі кожного блоку.
Дослідники пов’язують приблизно 70% усіх sandwich-атак в Ethereum із цим ботом — практикою, яка, за оцінками, щороку коштує трейдерам у мережі близько $60 мільйонів або більше. Багато хто не відчув особливої співчутливості. Sandwich-бот розміщує один ордер трохи перед очікуваною угодою, а інший — одразу позаду, а потім привласнює різницю в ціні, створену як невидимий податок для звичайних користувачів, які рідко це помічають.
Криптоінвестор David Gokhshtein застеріг від святкування, водночас визнавши, що будь-хто, кого колись «засендвічив» цей бот, тепер навряд чи відчуватиме до нього жаль. Частина викрадених коштів уже пройшла через Tornado Cash.
Виведення коштів завершує довгу й агресивну серію. У травні бот здійснив sandwich-атаку на співзасновника Ethereum Vitalik Buterin під час невеликого свопу токенів, що показало: навіть відомі гаманці потрапляли в поле його зору, хай і з невеликим збитком. Суботня втрата стала рідкісним і дорогим провалом для операції, яка понад два роки майже не зустрічала опору, а слідчі досі відстежують, куди поділося решта.
Читати далі: Чому Трамп пом’якшив свою позицію щодо загрози Anthropic після G7?