MEV-гигант Jaredfromsubway.eth күрделі смарт-келісімшарт шабуылы нәтижесінде $7,5 млн жоғалтты.

Ethereum экожүйесіндегі ең танымал MEV-боттардың бірі — Jaredfromsubway.eth — мақсатты шабуылдың құрбаны болып, $7,5 млн-нан астам активтерін жоғалтты. Бұл оқиға бүкіл криптоқауымдастықтың назарын аударып, сарапшыларды автоматтандырылған сауда жүйелерінің қауіпсіздігі туралы өз көзқарастарын қайта қарауға мәжбүр етті.
Қауіпсіздік мамандары жүргізген талдау барысында анықталғандай, шабуыл стандартты емес болды. Шабуылдаушы классикалық фишингтік схемаларды немесе құрбанның өз келісімшарттарындағы осалдықтарды пайдаланбаған. Оның орнына, ол танымал стейблкоиндер — WETH, USDC және USDT — ретінде жасырылған ондаған жалған токен келісімшарттарын орналастырды. Бұл келісімшарттар тиімді сауда мүмкіндіктерін имитациялайтын жалған өтімділік пулдарымен байланысты болды.
Jaredfromsubway.eth қоса алғанда, MEV-боттар осындай арбитраждық жағдайларды іздеуге және сэндвич-шабуылдарды жүргізуге бағдарланған. Жалған пулдар соншалықты сенімді көрінгендіктен, боттың автоматтандырылған жүйесі шабуылдаушының көмекші келісімшарттарына нақты активтерді жұмсауға рұқсат берді. Осыдан кейін шабуылдаушы бір транзакциямен барлық бэкдорларды іске қосып, қаражатты шығарып алды. Ұрланған монеталардың бір бөлігі транзакция іздерін жасыруға арналған танымал миксер Tornado Cash-ке жіберілді.
Бұл жағдай — нарықтың барлық қатысушылары үшін маңызды ескерту. Сэндвич-шабуылдар Ethereum-ның күнделікті өмірінің бөлігіне айналды: бағалаулар бойынша, трейдерлердің мұндай операциялардан жылдық шығыны шамамен $60 млн құрайды. 2024 жылдың қарашасынан 2025 жылдың қазанына дейін желіде ай сайын 60 000-нан 90 000-ға дейін сэндвич-операциялар тіркелді және олардың шамамен 70%-ы Jaredfromsubway.eth-пен байланысты болды. 2024 жылдың маусымында бұл бот тіпті Ethereum желісіндегі ең ірі газ тұтынушысына айналды.
Болған оқиға тіпті ең тәжірибелі MEV-ойыншылардың да шабуылдардан сақтандырылмағанын айқын көрсетеді. Осалдық кодта емес, тексерілмеген келісімшарттармен өзара әрекеттесу логикасының өзінде жатыр. Менің ойымша, осы оқиғадан кейін біз MEV-боттар тарапынан өтімділік пулдары мен токендердің түпнұсқалығын тексеру талаптарының күшейгенін көреміз, бұл олардың агрессивтілігін уақытша төмендетуі мүмкін, бірақ ұзақ мерзімді перспективада экожүйені қауіпсіз етеді.