Место для вашей рекламы

В результате атаки сэндвич-бот Jaredfromsubway потерял около $14 млн

Место для вашей рекламы
Атакиа на сэндвич-бот Jaredfromsubway
Если вы в криптовалютах достаточно давно, вас наверняка хоть раз «зажимал» в тиски сэндвич-бот Jared. Это лучший в своём деле бот, который зарабатывает на фронтране и бэкране чужих сделок. На днях его обыграли на его же поле — примерно на $14 млн.
«Если есть возможность заработать, Jared будет там», — говорят в сообществе. Но на этот раз ловушку расставили ему самому.

Как работают сэндвич-боты

Чтобы понять механику произошедшего, необходимо разобраться в принципе работы MEV.

Когда пользователь отправляет сделку в блокчейн, она сначала попадает в мемпул — очередь неподтвержденных транзакций. Боты постоянно анализируют эту очередь в поисках возможностей заработать.

Схема работы сэндвич-бота
Схема работы сэндвич-бота

Если крупный ордер способен заметно изменить цену актива, бот может купить токен раньше пользователя, искусственно подняв цену. После исполнения сделки жертвы бот сразу продает купленные токены дороже. В результате пользователь получает менее выгодную цену исполнения, а бот фиксирует прибыль.

Схема выглядит следующим образом:

  1. Пользователь отправляет заявку на покупку.
  2. Бот замечает сделку в мемпуле.
  3. Бот покупает актив раньше пользователя.
  4. Пользователь покупает уже по завышенной цене.
  5. Бот продает актив и фиксирует прибыль.

Именно благодаря таким операциям Jaredfromsubway стал одним из самых прибыльных MEV-ботов в истории Ethereum.

Крипторынок разделился во мнениях о завершении криптозимы

Кто такой Jared и как он работает

Jared - это сэндвич-бот, который «зажимает» чужую сделку своими сделками с двух сторон, зарабатывая на сдвиге цены. На протяжении нескольких лет этот бот считался одним из самых эффективных операторов MEV (Maximal Extractable Value) в сети Ethereum. 
По оценкам различных аналитиков, за время существования Jaredfromsubway заработал десятки миллионов долларов на автоматизированной торговле и извлечении MEV. Бот настолько агрессивно сканировал мемпул Ethereum, что фактически присутствовал почти во всех популярных DEX-маршрутах. Даже небольшие сделки иногда попадали под его алгоритмы. В 2026 году он вновь оказался в центре внимания после того, как провел сэндвич-атаку против сделки Виталика Бутерина, используя более $1 млн ликвидности для обработки свопа стоимостью всего несколько долларов.


Однако в июне ситуация неожиданно изменилась. Неизвестный участник рынка сумел использовать жадность алгоритма против него самого.

Ловушка из сотни фейковых пулов

Атакующий решил не бороться с ботом напрямую. Вместо этого он использовал главный принцип работы алгоритма — постоянный поиск арбитражной прибыли. Для атаки было создано более сотни поддельных пулов, визуально напоминающих классические пулы Uniswap V2. На первый взгляд они выглядели абсолютно легитимно. Однако внутри использовались специальные токены-обертки, которые полностью контролировались создателем схемы.

Далее атакующий начал отправлять серию искусственных транзакций между этими пулами. С точки зрения алгоритмов Jared ситуация выглядела как множество небольших арбитражных возможностей. После каждого такого свопа бот видел потенциальную прибыль и автоматически подключался к сделке. Проблема заключалась в том, что прибыль была лишь приманкой.

Критическая ошибка Jared

Главная особенность атаки заключалась не в самих фейковых пулах, а в механизме разрешений ERC-20.

Для проведения арбитражных операций боту приходилось выдавать смарт-контрактам разрешение на использование своих реальных активов. В экосистеме Ethereum такой механизм называется allowance. Обычно это абсолютно безопасная операция. Пользователь или бот разрешает контракту тратить определенное количество токенов от своего имени.

Но в данном случае бот выдавал разрешения контрактам, которые контролировал сам атакующий.

После десятков подобных операций накопилось около 50 действующих разрешений на списание средств:

  • 16 разрешений для WETH
  • 20 разрешений для USDC
  • 14 разрешений для USDT

По всей видимости, алгоритм Jared воспринимал эти контракты как обычные пулы ликвидности и не проверял их происхождение достаточно тщательно.

Algorand объявил переход к постквантовой криптографии в 2026 году

Финальная стадия атаки

Когда необходимое количество разрешений было собрано, атакующий просто воспользовался уже выданным доступом. Примерно через 18 минут после завершения подготовки начался вывод средств.

По данным аналитиков, были списаны:

  • 4 759 WETH;
  • 3,58 млн USDC;
  • 2,53 млн USDT.

Совокупный ущерб оценивается примерно в $14 млн по рыночному курсу на момент атаки. Фактически злоумышленнику не пришлось взламывать кошелек, подбирать ключи или эксплуатировать ошибку Ethereum. Он просто заставил алгоритм самостоятельно выдать доступ к собственным активам.

Вывод

История с Jaredfromsubway стала одним из самых показательных кейсов последних лет в индустрии DeFi. Один из самых агрессивных и прибыльных MEV-ботов Ethereum оказался жертвой собственной стратегии.

Вместо прямого взлома злоумышленник использовал экономическую модель бота против него самого. Создав сотни фейковых арбитражных возможностей, он заставил алгоритм добровольно выдать разрешения на доступ к активам, после чего вывел средства.

Для рынка это важный сигнал: по мере усложнения автоматизированной торговли растет не только прибыльность MEV, но и риски для самих операторов подобных систем. А значит, борьба между арбитражными ботами и их противниками выходит на совершенно новый уровень.


FAQ

1. Кто такой Jaredfromsubway?
Jaredfromsubway - один из самых известных MEV-ботов в сети Ethereum, специализирующийся на сэндвич-атаках и арбитражных стратегиях.

2. Что такое сэндвич-атака?
Это схема, при которой бот размещает свои сделки до и после транзакции пользователя, зарабатывая на изменении цены актива.

3. Как удалось украсть деньги у бота?
Атакующий создал сеть фейковых пулов ликвидности и заставил алгоритм выдавать разрешения на использование реальных активов. Затем эти разрешения были использованы для вывода средств.

4. Был ли взломан Ethereum?
Нет. Атака не связана с уязвимостью Ethereum или Uniswap. Эксплуатировалась логика работы самого торгового алгоритма.

5. Может ли подобное случиться с обычными пользователями?
Да. Любой пользователь, который выдает разрешения неизвестным смарт-контрактам и не отзывает их, потенциально подвергается похожему риску.

Вопрос читателям: Можно ли считать подобную атаку справедливой «охотой на охотника», если жертвой стал бот, который сам зарабатывал на ухудшении условий сделок для обычных пользователей? Напишите в комментариях

Комментарии

Комментариев пока нет. Будьте первым!