Главная » Новости криптовалют » Как MEV-бот JaredFromSubway сам разрешил украсть миллионы

Как MEV-бот JaredFromSubway сам разрешил украсть миллионы

Дмитрий
0 Отзывы
Прочитали: 23
22.06.2026
MEV-бот JaredFromSubway потерял

Один из самых известных MEV-ботов в экосистеме Ethereum, JaredFromSubway, сам оказался жертвой сложной ончейн-ловушки. По оценкам аналитиков, злоумышленники вывели с связанных с ботом адресов активы на сумму свыше $15 млн, включая WETH, USDC и USDT. В одном из крупнейших эпизодов было списано около $7,5 млн. Ирония ситуации быстро привлекла внимание криптосообщества: инструмент, который годами зарабатывал на ухудшении условий сделок обычных пользователей, потерял средства из-за собственной автоматизации.

Атака не была классическим взломом приватного ключа и не опиралась на известную ошибку в самом Ethereum. Злоумышленники изучили поведение бота, подготовили поддельные токены и торговые пулы, а затем заставили алгоритм взаимодействовать с контролируемыми контрактами. В процессе бот сам выдал разрешения на списание реальных активов, после чего атакующие использовали стандартную функцию transferFrom и перевели токены на свои адреса.

Кто такой JaredFromSubway и почему о нём знают в Ethereum

JaredFromSubway — псевдоним одного из наиболее заметных MEV-операторов в сети Ethereum. Его адреса и контракты получили известность благодаря высокой активности в децентрализованных биржах и регулярному участию в так называемых сэндвич-атаках. В отдельные периоды бот становился одним из крупнейших потребителей газа в сети и расходовал сотни ETH на комиссии ради приоритетного включения своих транзакций в блоки.

MEV означает максимальную извлекаемую стоимость — дополнительную прибыль, которую можно получить благодаря выбору порядка транзакций в блоке. Не все MEV-стратегии считаются вредоносными: например, арбитраж может выравнивать цены между площадками. Однако сэндвич-атаки работают непосредственно против пользователя и ухудшают итоговую цену его сделки.

История JaredFromSubway показывает, что полностью автоматизированная торговая система может быть прибыльной годами, но одна неверная модель доверия к внешним контрактам способна обнулить результат за несколько транзакций.

Популярность бота была связана не только с размером доходов, но и с масштабом его воздействия на розничных трейдеров. Когда пользователи обменивали токены через DEX с высокой допустимой просадкой, алгоритм мог заметить такую операцию в мемпуле и встроить вокруг неё собственные сделки.

Как работает сэндвич-атака

Обычная сэндвич-атака состоит из трёх последовательных действий. Сначала бот обнаруживает крупную неподтверждённую сделку пользователя. Затем он размещает покупку того же токена с более высокой комиссией, чтобы его транзакция была исполнена первой. Покупка бота двигает цену вверх, после чего сделка пользователя проходит уже по менее выгодному курсу.

Сразу после пользовательской операции бот продаёт приобретённые токены по выросшей цене. Прибыль формируется за счёт проскальзывания, которое фактически оплачивает жертва. Пользователь получает меньше токенов, чем мог бы при нормальном исполнении, а бот забирает разницу за вычетом комиссий и стоимости приоритетного включения.

Для успешной работы такой алгоритм должен постоянно анализировать мемпул, симулировать транзакции, рассчитывать прибыль и взаимодействовать с большим количеством токенов и пулов. Именно эта универсальность в итоге и стала уязвимостью: бот был настроен быстро использовать прибыльные возможности, но недостаточно строго проверял контракты, с которыми взаимодействовал.

Как злоумышленники подготовили ловушку

По данным ончейн-аналитиков, атака была заранее подготовлена. Злоумышленники создавали фальшивые токены и пулы ликвидности, которые внешне выглядели как обычные торговые возможности. Цены и маршруты обмена были построены так, чтобы алгоритм JaredFromSubway увидел потенциально выгодный арбитраж или возможность для MEV-операции.

Речь шла не об одной случайной приманке. Атакующие могли развернуть десятки связанных контрактов и постепенно проверять реакцию бота. Такой подход позволяет изучить правила его принятия решений, лимиты, маршрутизацию и порядок выдачи разрешений.

В отличие от человека, который может заметить подозрительное название токена, отсутствие истории торгов или необычный код контракта, бот ориентируется на формальные показатели. Если симуляция обещает прибыль, алгоритм стремится выполнить сделку быстрее конкурентов. Злоумышленники использовали эту предсказуемость против него.

Почему approvals стали главным оружием атаки

Токены стандарта ERC-20 обычно не могут быть списаны сторонним контрактом без предварительного разрешения владельца. Для этого используется функция approve: владелец разрешает определённому адресу потратить указанное количество токенов от его имени. После выдачи такого разрешения получатель может вызвать transferFrom и перевести активы без новой подписи владельца.

В повседневной DeFi-торговле approvals необходимы. Пользователь разрешает роутеру биржи списать USDC, WETH или другой токен, чтобы выполнить обмен. Проблема возникает, когда разрешение получает вредоносный контракт или когда устанавливается слишком высокий лимит, например неограниченный allowance.

  • Approve создаёт право стороннего контракта распоряжаться определённым токеном.
  • Allowance показывает, какую сумму разрешено списать.
  • TransferFrom позволяет воспользоваться ранее выданным разрешением.
  • Неограниченный approval остаётся активным, пока его не отзовут или не изменят.
  • Автоматическая выдача разрешений повышает риск, если контракт не проходит строгую проверку.

В случае JaredFromSubway бот сам взаимодействовал с контрактами-приманками и выдавал им разрешения на реальные активы. После этого злоумышленникам не пришлось ломать систему, подбирать ключ или обходить защиту кошелька. Они воспользовались полномочиями, которые получили легитимным вызовом approve.

Как прошёл вывод WETH, USDC и USDT

После накопления необходимых разрешений атакующие начали списывать ликвидные активы с адресов бота. Для вывода использовались обычные вызовы transferFrom. С точки зрения блокчейна транзакции были корректными: контракт имел право перемещать токены в пределах выданного allowance.

Среди похищенных активов фигурировали WETH, USDC и USDT. Выбор объясним: это ликвидные токены, которые проще быстро перевести, обменять или распределить между адресами. В одном крупном выводе сумма приблизилась к $7,5 млн, а совокупные потери по нескольким связанным кошелькам и контрактам превысили $15 млн.

Разница в оценках связана с тем, какие адреса аналитики относят к оператору JaredFromSubway, какие транзакции считают частью одной атаки и по какой цене оценивают токены. Поэтому в сообщениях встречаются как цифра $7,5 млн для конкретного дренажа, так и оценка свыше $15 млн для всей связанной инфраструктуры.

Почему это не обычный взлом смарт-контракта

Важная особенность инцидента — отсутствие классической технической уязвимости в протоколе. Злоумышленники не обязаны были находить переполнение, ошибку проверки прав или возможность повторного входа. Они атаковали логику автоматической системы и её доверие к внешним токенам.

По сути, это разновидность экономической и поведенческой эксплуатации. Атакующие сначала создали среду, которая выглядела прибыльной, затем дождались автоматического действия бота и только после этого воспользовались выданными полномочиями. Уязвимым оказался не отдельный участок кода, а вся модель принятия решений.

Для разработчиков торговых алгоритмов это особенно тревожный сигнал. Формальная успешность симуляции не означает безопасность. Поддельный токен может специально менять поведение в зависимости от вызывающего адреса, последовательности операций или состояния пула. Контракт может демонстрировать ожидаемый результат до момента выдачи approval, а затем использовать скрытую логику.

Почему автоматизация сделала бота уязвимым

MEV-боты соревнуются в скорости. Они должны принимать решение за доли секунды, иначе возможность заберёт конкурент. Такая архитектура плохо сочетается с глубоким ручным анализом каждого нового токена. Поэтому система опирается на набор автоматических проверок и симуляций.

Если фильтры недостаточно строгие, атакующий может создать контракт, который проходит стандартную проверку, но остаётся опасным. Особенно рискованно автоматически одобрять расходование ликвидных активов неизвестными адресами. Даже если лимит используется только для одной сделки, ошибка в расчёте или повторно используемый allowance может открыть доступ ко всему балансу.

JaredFromSubway, вероятно, стал жертвой собственной оптимизации. Чем шире список поддерживаемых токенов и маршрутов, тем больше потенциальных возможностей для заработка. Но одновременно растёт поверхность атаки и число внешних контрактов, которым алгоритм вынужден доверять.

Можно ли считать произошедшее «кармой»

В социальных сетях инцидент быстро назвали кармическим. Такая реакция объяснима: сэндвич-бот годами получал прибыль за счёт ухудшения условий сделок других участников рынка. Теперь сам алгоритм оказался в роли стороны, поведение которой предсказали и использовали более подготовленные игроки.

Однако с точки зрения безопасности романтизация атаки опасна. Независимо от репутации жертвы, произошедшее демонстрирует реальную уязвимость DeFi-инфраструктуры. Тот же механизм может использоваться против маркетмейкеров, арбитражных систем, казначейств проектов и обычных пользователей.

Кроме того, кража остаётся кражей, даже если средства принадлежали неоднозначному MEV-оператору. Для рынка важнее технический урок: автоматическое взаимодействие с неизвестными контрактами и выдача разрешений без жёстких лимитов создают критический риск.

Какие уроки должны извлечь разработчики ботов

Первое правило — минимизация разрешений. Контракту следует выдавать allowance только на точную сумму конкретной операции, а после завершения сделки обнулять остаток. Неограниченные approvals удобны и экономят газ, но в случае компрометации создают максимальный ущерб.

Второй принцип — строгий список доверенных контрактов. Поддержка нового токена или пула должна происходить только после анализа кода, истории создания, владельцев, прокси-механизмов и поведения в различных сценариях. Для неизвестных активов допустимы отдельные изолированные кошельки с небольшим балансом.

Третья мера — разделение капитала. Рабочий контракт, который взаимодействует с внешними протоколами, не должен хранить весь операционный резерв. Большая часть средств может находиться на защищённых адресах, а торговый модуль получать ограниченный объём ликвидности.

Наконец, симуляции должны учитывать враждебное поведение. Недостаточно проверить, что сделка прибыльна при текущем состоянии. Необходимо анализировать, какие права получает внешний контракт, может ли он менять логику, вызывать сторонние адреса или использовать ранее выданные approvals.

Что это значит для обычных пользователей DeFi

История JaredFromSubway касается не только профессиональных ботов. Обычные пользователи ежедневно выдают токеновые разрешения DEX, мостам, NFT-площадкам и другим приложениям. Многие approvals остаются активными годами, даже если сервис больше не используется.

Пользователям стоит регулярно проверять действующие разрешения и отзывать ненужные. Особую осторожность следует проявлять при работе с новыми токенами, неизвестными сайтами и контрактами, которые требуют неограниченный доступ к USDT, USDC, WETH или другим ликвидным активам.

Для крупных сумм полезно разделять кошельки. Один адрес используется для хранения, другой — для взаимодействия с DeFi. Даже если торговый кошелёк выдаст вредоносное разрешение, основная часть капитала останется изолированной.

Как инцидент повлияет на рынок MEV

Потеря более $15 млн не означает исчезновение MEV. Возможности арбитража и изменения порядка транзакций встроены в устройство публичных блокчейнов. Однако атака может заставить операторов пересмотреть безопасность, уменьшить объём средств в рабочих контрактах и осторожнее взаимодействовать с неизвестными пулами.

Одновременно злоумышленники получили новый шаблон атаки: вместо попытки конкурировать с MEV-ботом по скорости можно изучить его логику и создать специально подготовленную возможность. Это превращает самих ботов в привлекательные цели, поскольку их адреса публичны, алгоритмы повторяемы, а балансы часто велики.

Для Ethereum инцидент снова поднимает вопрос о токсичном MEV и защите пользователей. Зашифрованные мемпулы, приватная отправка транзакций и улучшенные механизмы построения блоков могут уменьшить сэндвич-атаки, но полностью не устраняют риски автоматизированной торговли.

Вывод

История JaredFromSubway стала одним из самых показательных эпизодов в современной DeFi-безопасности. Бот, который зарабатывал на чужих предсказуемых действиях, сам оказался предсказуемой системой. Атакующие создали выгодно выглядевшие сделки, получили approvals и вывели ликвидные активы через обычный transferFrom.

Главный урок заключается не в моральной оценке, а в архитектуре безопасности. Любое разрешение — это реальное право распоряжаться средствами. Автоматизация не устраняет риск, а часто переносит его из человеческих ошибок в ошибки модели принятия решений. Чем быстрее и агрессивнее работает торговый алгоритм, тем строже должны быть изоляция капитала, проверка контрактов и контроль allowances.

Комментарии (0)

Отзывы к данной статье отсутствуют

Чтобы оставить отзыв, нужно авторизироваться.
Интересные статьи, которые могут вам помочь
Заморозка экспорта ИИ изменила правила для Кремниевой долины
Новости фондовых рынков
Заморозка экспорта ИИ изменила риски для технологического сектора
22.06.2026
Дмитрий
Ормузский пролив временно перестал пугать рынки
Экономика
Ормузский пролив может снова стать угрозой для рынков в 2027 году
22.06.2026
Дмитрий
Проверка криптопроекта перед инвестированием
Крипта на практике
Проверка криптопроекта перед инвестированием: пошаговый разбор
17.06.2026
Дмитрий
Выбирайте лучших! Выбирайте лидеров!
Регистрация
Регистрация
Регистрация