Один из самых известных MEV-ботов Ethereum, JaredFromSubway, сам попал в ловушку и потерял миллионы долларов.
По оценкам аналитиков, общий ущерб по связанным кошелькам превысил $15 млн. В одном крупном выводе злоумышленники забрали около $7,5 млн в WETH, USDC и USDT.
Особая ирония в том, что годами этот бот зарабатывал на сэндвич-атаках против обычных пользователей.
Теперь более подготовленные участники использовали против него его же главное преимущество — автоматизацию.
Как бот зарабатывал на пользователях
JaredFromSubway отслеживал неподтверждённые сделки в Ethereum.
Когда пользователь хотел купить токен на DEX, бот мог увидеть операцию заранее и вставить перед ней собственную покупку.
Цена повышалась, после чего пользователь получал меньше токенов.
Затем бот продавал актив после сделки жертвы и фиксировал прибыль.
Такая схема называется сэндвич-атакой: пользовательская транзакция оказывается зажата между двумя операциями бота.
Как была устроена ловушка
Злоумышленники создали поддельные токены и торговые пулы.
Они выглядели как прибыльные возможности для арбитража или MEV-сделки.
Бот автоматически анализировал рынок и видел потенциальную прибыль. Но вместо настоящей возможности он взаимодействовал с контрактами, которые контролировали атакующие.
Главная ошибка произошла на этапе выдачи разрешений.
Что такое approval
Для обмена ERC-20 токена пользователь или бот должен разрешить смарт-контракту списать актив.
Такое разрешение называется approval.
После него контракт может использовать функцию transferFrom и перевести токены без новой подписи владельца.
Обычно это стандартная часть работы DeFi. Но если approval получил вредоносный контракт, он может забрать средства в пределах разрешённой суммы.
В этой атаке злоумышленники не взломали приватный ключ. Бот сам предоставил им право списать токены.
Почему потери оценивают по-разному
В сообщениях встречаются две основные суммы.
Около $7,5 млн — размер одного крупного вывода.
Более $15 млн — совокупный ущерб по нескольким связанным адресам и контрактам.
Разница зависит от того, какие кошельки аналитики связывают с JaredFromSubway и какие операции относят к одной атаке.
Почему бот не распознал обман
MEV-системы должны работать максимально быстро.
Они анализируют тысячи операций, симулируют сделки и принимают решение за доли секунды.
Глубокая ручная проверка каждого нового токена невозможна.
Если формальные показатели обещают прибыль, алгоритм пытается опередить конкурентов.
Атакующие использовали эту предсказуемость. Они создали контракты, которые выглядели безопасными и выгодными именно для автоматической системы.
Карма или серьёзная проблема
В криптосообществе историю сразу назвали кармой.
Бот годами ухудшал цену сделок обычных пользователей, а теперь сам стал жертвой более хитрой стратегии.
Но технически это серьёзный инцидент.
Тот же подход можно использовать против других ботов, маркетмейкеров, DeFi-протоколов и обычных кошельков.
Проблема не в конкретной репутации JaredFromSubway, а в опасности автоматических approvals.
Какие уроки важны для разработчиков
Первое — нельзя выдавать неизвестным контрактам неограниченные разрешения.
Approval лучше ограничивать точной суммой одной сделки.
Второе — рабочий контракт не должен хранить весь капитал.
Основные средства стоит отделять от адреса, который постоянно взаимодействует с новыми токенами и пулами.
Третье — новые контракты нужно проверять не только на ожидаемую прибыль, но и на возможные скрытые действия.
Симуляция успешной сделки ещё не означает безопасность.
Что делать обычным пользователям
Проверяйте активные approvals и отзывайте разрешения для сервисов, которыми больше не пользуетесь.
Не разрешайте неизвестному контракту списывать неограниченное количество USDT, USDC, WETH или других ликвидных активов.
Для DeFi лучше использовать отдельный кошелёк с ограниченным балансом, а основные средства хранить на другом адресе.
Это не защитит от всех угроз, но сильно уменьшит возможный ущерб.
Итог
JaredFromSubway потерял деньги не из-за взлома Ethereum и не из-за утечки ключа.
Атакующие изучили логику бота, создали фальшивые возможности и заставили систему самостоятельно выдать разрешения на списание средств.
История показала простую вещь: автоматизация делает операции быстрее, но не обязательно безопаснее.
Иногда самый умный бот в блокчейне становится самой предсказуемой жертвой.