«Если есть возможность заработать, Jared будет там», — говорят в сообществе. Но на этот раз ловушку расставили ему самому.
Как работают сэндвич-боты
Чтобы понять механику произошедшего, необходимо разобраться в принципе работы MEV.
Когда пользователь отправляет сделку в блокчейн, она сначала попадает в мемпул — очередь неподтвержденных транзакций. Боты постоянно анализируют эту очередь в поисках возможностей заработать.

Если крупный ордер способен заметно изменить цену актива, бот может купить токен раньше пользователя, искусственно подняв цену. После исполнения сделки жертвы бот сразу продает купленные токены дороже. В результате пользователь получает менее выгодную цену исполнения, а бот фиксирует прибыль.
Схема выглядит следующим образом:
- Пользователь отправляет заявку на покупку.
- Бот замечает сделку в мемпуле.
- Бот покупает актив раньше пользователя.
- Пользователь покупает уже по завышенной цене.
- Бот продает актив и фиксирует прибыль.
Именно благодаря таким операциям Jaredfromsubway стал одним из самых прибыльных MEV-ботов в истории Ethereum.
Крипторынок разделился во мнениях о завершении криптозимы
Кто такой Jared и как он работает
Однако в июне ситуация неожиданно изменилась. Неизвестный участник рынка сумел использовать жадность алгоритма против него самого.
Ловушка из сотни фейковых пулов
Атакующий решил не бороться с ботом напрямую. Вместо этого он использовал главный принцип работы алгоритма — постоянный поиск арбитражной прибыли. Для атаки было создано более сотни поддельных пулов, визуально напоминающих классические пулы Uniswap V2. На первый взгляд они выглядели абсолютно легитимно. Однако внутри использовались специальные токены-обертки, которые полностью контролировались создателем схемы.
Далее атакующий начал отправлять серию искусственных транзакций между этими пулами. С точки зрения алгоритмов Jared ситуация выглядела как множество небольших арбитражных возможностей. После каждого такого свопа бот видел потенциальную прибыль и автоматически подключался к сделке. Проблема заключалась в том, что прибыль была лишь приманкой.
Критическая ошибка Jared
Главная особенность атаки заключалась не в самих фейковых пулах, а в механизме разрешений ERC-20.
Для проведения арбитражных операций боту приходилось выдавать смарт-контрактам разрешение на использование своих реальных активов. В экосистеме Ethereum такой механизм называется allowance. Обычно это абсолютно безопасная операция. Пользователь или бот разрешает контракту тратить определенное количество токенов от своего имени.
Но в данном случае бот выдавал разрешения контрактам, которые контролировал сам атакующий.
После десятков подобных операций накопилось около 50 действующих разрешений на списание средств:
- 16 разрешений для WETH
- 20 разрешений для USDC
- 14 разрешений для USDT
По всей видимости, алгоритм Jared воспринимал эти контракты как обычные пулы ликвидности и не проверял их происхождение достаточно тщательно.
Algorand объявил переход к постквантовой криптографии в 2026 году
Финальная стадия атаки
Когда необходимое количество разрешений было собрано, атакующий просто воспользовался уже выданным доступом. Примерно через 18 минут после завершения подготовки начался вывод средств.
По данным аналитиков, были списаны:
- 4 759 WETH;
- 3,58 млн USDC;
- 2,53 млн USDT.
Совокупный ущерб оценивается примерно в $14 млн по рыночному курсу на момент атаки. Фактически злоумышленнику не пришлось взламывать кошелек, подбирать ключи или эксплуатировать ошибку Ethereum. Он просто заставил алгоритм самостоятельно выдать доступ к собственным активам.
Вывод
История с Jaredfromsubway стала одним из самых показательных кейсов последних лет в индустрии DeFi. Один из самых агрессивных и прибыльных MEV-ботов Ethereum оказался жертвой собственной стратегии.
Вместо прямого взлома злоумышленник использовал экономическую модель бота против него самого. Создав сотни фейковых арбитражных возможностей, он заставил алгоритм добровольно выдать разрешения на доступ к активам, после чего вывел средства.
Для рынка это важный сигнал: по мере усложнения автоматизированной торговли растет не только прибыльность MEV, но и риски для самих операторов подобных систем. А значит, борьба между арбитражными ботами и их противниками выходит на совершенно новый уровень.

Комментарии
Комментариев пока нет. Будьте первым!