Алыптың күйреуі: MEV-бот Jaredfromsubway.eth күрделі тұзаққа түсіп, $7,5 млн жоғалтты

Ethereum желісіндегі ең танымал және агрессивті MEV-боттардың бірі Jaredfromsubway.eth апатты шығынға ұшырады. Күрделі хакерлік шабуылдың нәтижесінде зиянкестер 7,5 миллион доллардан астам активтерді шығарып үлгерді. Бұл оқиға жай ғана кезекті бұзу емес, автоматтандырылған сауда жүйелеріне арналған қауіптердің жаңа класын көрсетеді.
Шабуыл қалай жүргізілді: стандартты емес тәсіл
Оқиғаны тіркеген Blockaid компаниясының қауіпсіздік мамандары бұл классикалық фишингтік шабуыл немесе жәбірленушінің смарт-келісімшартындағы қарапайым осалдықты пайдалану емес екенін атап өтеді. Зиянкестің әдістемесі әлдеқайда нәзік болды. Ол танымал өтімді активтерге: WETH, USDC және USDT-ге шебер бүркенген ондаған жалған токен келісімшарттарын орналастырды. Бұл жалған токендер нақты сауда жұптарын көзбен елестететін жалған өтімділік пулдарымен байланыстырылды.
Тұзақтың негізгі элементі — жоғары пайдалы мәмілелердің иллюзиясын жасау. Jaredfromsubway.eth сияқты MEV-боттар сэндвич-шабуылдарын жүргізу мүмкіндіктерін іздеуге бағдарламаланған. Зиянкес дәл осындай «тартымды» жағдайларды жасады. Боттың автоматтандырылған жүйесі әлеуетті пайданы танып, шабуылдаушының көмекші келісімшарттарына өз әмиянынан нақты, шынайы активтерді жұмсауға рұқсат берді. Рұқсаттар алынғаннан кейін хакер бір транзакциямен барлық «артқы есіктерді» іске қосып, қаражатты лезде шығарып алды. Arkham аналитикалық платформасының деректері бойынша, ұрланған монеталардың бір бөлігі іздерді жасыру үшін Tornado Cash миксеріне жіберілген.
Нарық үшін контекст және салдары
Жағдайдың ирониясы — Jaredfromsubway.eth ұзақ уақыт бойы Ethereum экожүйесіндегі басты «жыртқыштардың» бірі болды. Бағалаулар бойынша, трейдерлердің желідегі сэндвич-шабуылдарынан жыл сайынғы шығыны шамамен 60 миллион долларды құрайды. 2024 жылдың қарашасынан 2025 жылдың қазанына дейінгі кезеңде желіде ай сайын 60 000-нан 90 000-ға дейін осындай операциялар тіркелді, олардың шамамен 70%-ы дәл осы ботпен байланыстырылды. 2024 жылдың маусымында ол тіпті Ethereum желісіндегі газдың ең ірі бір реттік тұтынушысына айналды, ол соншалықты белсенді жұмыс істеді.
Менің талдауым: Бұл бұзу — маңызды оқиға. Ол тіпті ең күрделі және пайдалы MEV алгоритмдерінің өздерінің шешім қабылдау механизмдеріне бағытталған шабуылдарға осал екенін көрсетеді. Бұл келісімшарт кодындағы қате емес, бот логикасын манипуляциялау. Оқиға барлық MEV-бот операторларына қатаң ескерту болып табылады: сіздің пайда аулауыңыз сізге қарсы қолданылуы мүмкін. Нарық барған сайын қауіпті бола түсуде және ескі үстемдік әдістері енді қауіпсіздікке кепілдік бермейді.