Крупнейший MEV-бот Ethereum потерял $7,5 млн — его обманули его же методами

Один из самых известных MEV-ботов в сети Ethereum — jaredfromsubway.eth — лишился более $7,5 млн после того, как атакующий обратил его собственную торговую логику против него. Атака строилась несколько недель и не эксплуатировала классическую уязвимость в смарт-контракте — злоумышленник целенаправленно обманул систему принятия решений бота.

Инцидент произошёл в субботу, 21 июня 2026 года. Часть похищенных средств впоследствии была направлена через Tornado Cash — миксер для анонимизации транзакций в блокчейне.

Что такое сэндвич-атака и почему этот бот был особенным

Сэндвич-атака — разновидность MEV (maximal extractable value, максимально извлекаемая ценность). Автоматизированный трейдер отслеживает мемпул — очередь неподтверждённых транзакций — и, обнаружив крупную сделку, вклинивается вокруг неё: сначала покупает актив перед жертвой, затем продаёт сразу после, пока та торгует по ухудшившейся цене.

Для каждой отдельной жертвы потери невелики, но в масштабе тысяч сделок ежедневно это превращается в скрытый налог на всех участников рынка. По оценкам, сэндвич-атаки обходятся трейдерам Ethereum примерно в $60 млн в год — от 60 000 до 90 000 атак в месяц в период с ноября 2024 по октябрь 2025 года.

Jaredfromsubway.eth работает с начала 2023 года и был причастен примерно к 70% всех подобных атак в сети. Масштаб его активности наглядно показал эпизод, о котором CoinDesk писал в мае: бот атаковал даже небольшой своп сооснователя Ethereum Виталика Бутерина — вложил $1,14 млн, чтобы заработать всего $4 после комиссий. Это не ошибка расчёта, а демонстрация того, насколько индустриализированной стала работа бота: он сканировал мемпул в поисках любой возможности вклиниться.

Как атакующий переиграл бота его же оружием

Атака не была ни фишингом, ни эксплуатацией уязвимости в коде контракта — это подтвердила компания по блокчейн-безопасности Blockaid. Злоумышленник атаковал саму логику принятия решений бота.

На протяжении нескольких недель атакующий разворачивал десятки фейковых токен-контрактов и поддельных пулов ликвидности на децентрализованных биржах. Эти конструкции имитировали знакомые активы — WETH (wrapped ether), стейблкоины USDC и USDT — и выглядели как прибыльные MEV-возможности.

Бот среагировал предсказуемо: увидел «выгодные» сделки и выдал разрешения (апрувы) на управление своими токенами вспомогательным контрактам, которые контролировал атакующий. На ранних этапах эти разрешения использовались сразу в рамках тестовых сделок. Но затем злоумышленник выстроил маршруты, при которых апрувы оставались открытыми — то есть постоянно действующими.

Когда разрешений накопилось достаточно, атакующий воспользовался ими, чтобы напрямую вывести WETH, USDC и USDT из контрактов бота. Итог — более $7,5 млн ушло за пределы системы. Часть средств прошла через Tornado Cash, что существенно затрудняет их отслеживание.

Что это означает для индустрии и рынка DeFi

Ирония произошедшего очевидна: бот, годами зарабатывавший на том, что трейдеры «не видели его приближения», сам не распознал атаку, которая разворачивалась у него перед «глазами» несколько недель.

Событие не делает сэндвич-атаки менее опасными для обычных пользователей — они по-прежнему теряют деньги на каждой крупной сделке в публичном мемпуле. Однако инцидент наглядно демонстрирует системный риск автоматизированных торговых систем: алгоритмы, принимающие решения на основе распознавания паттернов и сигналов прибыли, сами становятся уязвимы для манипуляций через те же паттерны.

Для белорусских разработчиков и команд, работающих в DeFi-пространстве — в том числе резидентов ПВТ, которые строят продукты на базе публичных блокчейнов, — этот кейс показателен. Автоматизация торговой логики без механизмов верификации контрагентов и ограничения апрувов — это не просто техническая уязвимость, а архитектурное решение с прямыми финансовыми последствиями.

Масштаб потерь — $7,5 млн за одну атаку — сопоставим с годовым бюджетом среднего белорусского IT-стартапа. И это при том, что жертвой стал не новичок, а один из самых технически изощрённых участников рынка.

— По материалам CoinDesk: оригинальная статья. Перевод и адаптация — редакция Digital Business.