Один из самых печально известных торговых ботов Ethereum был повержен в собственной игре. Криптоторговый бот Jaredfromsubway.eth, долгое время ассоциировавшийся с опережающими сделками в ончейн-DeFi и названный в честь опозоренного бывшего представителя Subway Джареда Фогла, был заманен в ловушку и лишился около 7,5 миллиона долларов в криптовалюте.
В Ethereum и аналогичных криптосетях MEV расшифровывается как maximal extractable value (изначально — miner extractable value, извлекаемая майнером ценность). Проще говоря, это дополнительная прибыль, которую можно получить, контролируя порядок транзакций внутри блока в определенном блокчейне. По сути, тот, кто собирает блок в криптосети, занимает привилегированное положение и может извлекать выгоду, видя транзакции пользователей до их финализации. Это наиболее актуально для криптосетей, где работают приложения децентрализованных финансов (DeFi), такие как Ethereum.
Концепция становится намного понятнее, когда речь заходит о «сэндвич-атаках» (sandwich attacks), в которых Jaredfromsubway преуспел. При сэндвич-атаке бот обнаруживает ожидающую транзакцию в мемпуле криптосети, опережает ее собственным ордером на покупку, позволяет сделке жертвы поднять цену, а затем немедленно продает. Пользователь получает худшую цену исполнения, в то время как бот наживается на влиянии цены жертвы и худшем исполнении, разрешенном настройками проскальзывания (slippage) пользователя.
Jaredfromsubway стал печально известен тем, что индустриализировал этот процесс. Бота широко называли одним из самых плодовитых «сэндвич-атакующих» в Ethereum, а предыдущий отчет Cointelegraph Research связывал этого бота примерно с 70% сэндвич-атак в сети с ноября 2024 по октябрь 2025 года. Для обычных DeFi-пользователей это превратило Jaredfromsubway из мема в постоянного сборщика налогов, встроенного в структуру торговли. Protos недавно подчеркнул, насколько оппортунистичным может быть Jaredfromsubway, сообщив, что бот даже совершил сэндвич-атаку на сделку, совершенную создателем Ethereum Виталиком Бутериным.
Как Jaredfromsubway был обманут
Именно эта репутация сделала недавний инцидент столь поразительным. Вместо того чтобы использовать уязвимость смарт-контракта или украсть приватный ключ, злоумышленник, по-видимому, нацелился на операционную логику Jaredfromsubway. В отчетах об инциденте это описывается как своего рода контр-MEV-ловушка (honeypot). Согласно ветке в X, опубликованной платформой безопасности Blockaid, схема включала десятки поддельных токенов ERC-20, некоторые из которых имитировали знакомые активы, такие как WETH, USDC и USDT, а также фиктивные пулы ликвидности, которые делали контракты похожими на прибыльные возможности для автоматизированной торговой системы (Примечание: читателям не следует предполагать, что аккаунт Jaredfromsubway, упомянутый в ветке Blockaid, управляется реальной организацией, стоящей за ботом).
🚨Community Alert:
Blockaid Exploit Detection system detected an exploit involving the @jaredsmev MEV bot on Ethereum.
The incident resulted from attacker-controlled contracts tricking an automated MEV execution system into granting token approvals, later used to drain funds.…— Blockaid (@blockaid_) June 20, 2026
Суть заключалась не в том, чтобы обмануть человека-трейдера, заставив его кликнуть по вредоносной ссылке. Целью было выманить бота вроде Jaredfromsubway сделать то, что он делает всегда.
По данным Blockaid, злоумышленник в течение нескольких недель развернул 66 поддельных контрактов токенов и структурировал их так, чтобы они выглядели как прибыльные MEV-возможности. Чтобы взаимодействовать с этими маршрутами, система Jaredfromsubway предоставила контрактам-помощникам, контролируемым злоумышленником, разрешение тратить токены от его имени. Сначала эти разрешения, как сообщается, казались безвредными, поскольку связанные сделки немедленно использовали лимиты. Однако позже злоумышленник ввел маршруты, которые оставляли часть лимитов неиспользованными, предоставляя контрактам, контролируемым злоумышленником, постоянное разрешение на перемещение токенов бота. Как только этих разрешений накопилось достаточно, злоумышленник вывел подлинные WETH, USDC и USDT с адресов, контролируемых MEV-операцией.
Общий улов оценивался примерно в 7,5 миллиона долларов, и организация, устроившая ловушку, с тех пор перевела часть этих средств в Ethereum-миксер Tornado Cash, сообщает CoinDesk.
Более широкие проблемы DeFi
Jaredfromsubway — яркий пример более широкой проблемы, связанной с финансовой активностью в прозрачных блокчейнах. Если ожидающие транзакции видны до их урегулирования, то акторы с привилегированным доступом к производству блоков могут использовать эту видимость. Даже в традиционных финансах опережение сделок (front-running) — это дурное слово. В DeFi версии того же рода поведения часто рассматривались как бизнес-модель или как неизбежный побочный эффект открытых систем.
Конечно, исследователи и поставщики инфраструктуры также разрабатывают способы ограничения наиболее вредоносных форм MEV, включая частную маршрутизацию транзакций, зашифрованные мемпулы и механизмы, предназначенные для того, чтобы сделать упорядочивание транзакций более справедливым или менее подверженным манипуляциям.
И даже если отвлечься от MEV, показатели безопасности сектора DeFi за последний год выглядели куда более шаткими. В апреле аналитики JPMorgan заявили, что постоянные уязвимости продолжают ограничивать институциональную привлекательность DeFi. Примечательно, что апрель стал худшим месяцем по количеству взломов протоколов криптовалют за всю историю: за один месяц было зафиксировано 29 инцидентов, а убытки составили 651 миллион долларов.
Мануэль Араос, соучредитель OpenZeppelin и одно из первых известных имен в области аудита смарт-контрактов, недавно заявил, что теперь считает весь DeFi небезопасным и посоветовал друзьям и семье выйти из позиций. Его аргумент заключался в том, что ИИ усугубляет дисбаланс между атакующим и защитником, поскольку кодирующие агенты становятся «сверхчеловеческими в поиске уязвимостей», в то время как защитники все еще осваивают эту новую парадигму. Однако недавняя уязвимость, обнаруженная в Zcash (ZEC), которая позволила бы злоумышленнику фактически напечатать ZEC из воздуха, была обнаружена, как сообщается, благодаря проактивному защитному использованию Claude Opus 4.8 от Anthropic. OpenZeppelin также дистанцировалась от оценки Араоса, заявив, что угроза реальна, но утверждая, что соответствующим ответом является работа по обеспечению безопасности с помощью ИИ и непрерывная работа, а не отказ от DeFi.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Kyle Torpey
