Loss Exceeds $7.5 Million: Analysis of the Honeypot Attack Targeting MEV Bot and Tracking of Stolen Funds

marsbitОпубликовано 2026-06-22Обновлено 2026-06-22

Введение

On June 21, Jaredfromsubway.eth, one of Ethereum's most active MEV bots, suffered a sophisticated honeypot attack, losing over $7.5 million in crypto assets. Attackers deployed a complex contract system, including a coordinator, trigger, and fake token/pair contracts, to exploit the bot's arbitrage logic. The core attack trick involved baiting the bot with transactions: small trades appeared normal and consumed token approvals, while larger trades preserved these approvals by using fake swaps. This left the bot with large, unused approvals for assets like USDC, USDT, and WETH. The attacker then drained these approvals in a final step. The stolen funds—$2.87M USDC, $2.04M USDT, and 1,474 WETH—were consolidated and partially laundered through Tornado Cash. This incident highlights that MEV bots must not rely solely on simulated profits for security. Extra caution is required with unfamiliar contracts or custom wrappers in arbitrage paths, and post-transaction allowance checks are strongly recommended.

On June 21, Jaredfromsubway.eth, one of the most active MEV Bots on the Ethereum network, fell victim to a meticulously orchestrated "honeypot attack," resulting in the loss of over $7.5 million worth of crypto assets. The following is Beosin Security Team's analysis of this attack and tracking of the stolen fund flow.

Attack Process Analysis

Attack Contract Family

- Coordinator Contract (0xb84db016324e8f2bfdd8dd9c260338aee0a8df52): Responsible for recording whether the current block is in an 'armed' state and, in the final stage, cyclically calling sub-contracts to drain funds.
- Trigger Contract (0x4de8c729a064ff6087cc84a4152969349e4feb98): Responsible for setting the state of fake trading pairs within the same block, making the arbitrage path appear executable.
- Sub-contract / Fake Token Contract: Disguised as a normal ERC-20 token, used to obtain genuine approvals.
- Hub Contract: Responsible for paying out a small amount of real profit, making the MEV Bot believe the opportunity is profitable.
- Ring V2 Pair: Fake Uniswap v2 trading pair.
- Fake Intermediate Token Contract: Used to construct multi-hop arbitrage paths, such as fCAP, fUSDC.

The Key to the Attack: Deceiving Approvals

By analyzing on-chain transactions, the attacker constructed multiple sets of bait transactions:

- Large USDC: The bot profited about 36.997120 USDC, but left behind an approval for 20 USDC.
- Large USDT: The bot profited about 37.053440 USDT, but left behind an approval for 20 USDT.
- Large WETH: The bot profited about 0.0179 WETH, but left behind an approval for 16 WETH.
- Small transactions behaved normally, with the approval consumed within the same transaction to reduce suspicion.

In small transactions, after the bot authorized a real token allowance, the sub-contract would immediately transfer the real tokens away. The approval was consumed, appearing completely normal.

In large transactions, however, the sub-contract would not call `transferFrom` to move the real tokens. Instead, it would directly mint fake tokens via the fake trading pair. The bot thought it had completed the normal pre-swap steps, but the real token approval remained intact.

This is the core of the entire attack: small transactions normally consume approvals, while large transactions preserve them.

Attack Procedure

Taking the attack transaction targeting USDC as an example:

(1) The attacker calls the coordinator to set the current block as 'armed'.
(2) The attacker calls the trigger to update the state of multiple fake Ring V2 pairs.
(3) The MEV Bot detects the arbitrage opportunity and executes the transaction.

The internal process of the MEV Bot transaction is roughly as follows:

(1) The MEV Bot contract approves a large USDC allowance to a specific sub-contract.
(2) The MEV Bot calls the `wrapTo`/`wrap` function of the sub-contract.
(3) Because the current state is 'armed', the sub-contract does not consume real USDC. Instead, it mints fake tokens to the pair, and the USDC approval is preserved.
(4) The MEV Bot continues by calling the `swap` function on the fake pair.
(5) The second-hop pair sends the tokens to the MEV Bot.
(6) The hub contract pays a small amount of real USDC profit to the MEV Bot.

approval example

tx hash: 0x0121e07a916c06eea3e7daf11893f3f0b95b9e1684124545ae14c32aee6029bb

The result seen by the MEV Bot: A successful arbitrage transaction yielding real USDC profit. However, the USDC approval was retained by the sub-contract.
This process was repeated for USDC, USDT, and WETH, ultimately accumulating numerous approvals.

The attack transaction hash is:

0x2be8704f5a59b69e0b71f64aefdb99eb0e8ae9fb3926147c581910d71bcf3e65

The attacker calls the `drain loop` function of the coordinator contract. The calldata contains 66 sub-contract addresses and the MEV Bot contract address. For any sub-contract to which the MEV Bot contract had previously left an allowance, that sub-contract could directly transfer the corresponding real tokens to the attacker.

Final Result:

- The entire 20 USDC large allowance was drained.
- The entire 16 WETH large allowance was drained.
- Part of the USDT allowance still exists, but the USDT balance is insufficient.

Fund Flow Analysis

After succeeding, the attacker's address (0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) received $2.87M USDC, $2.04M USDT, and 1,474 WETH. Subsequently, the attacker exchanged the stablecoins for ETH and transferred it to the following 4 addresses:

- 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (approx. 1,000 ETH)
- 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH)
- 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH)
- 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH)

Among these, 0xe3Da3 has transferred 1,000 ETH to Tornado Cash. The ETH at the other three addresses has not seen further movement. The fund flow chart is shown below:

Conclusion

This attack demonstrates a highly sophisticated method: instead of directly attacking contract code, the attacker, based on the business logic of MEV Bots, constructed corresponding arbitrage scenarios to mislead the MEV Bot into making seemingly harmless approvals, and then transferred its assets. For arbitrage bots and MEV Bots, relying solely on simulated profits to judge the safety of a route is insufficient. Especially when an arbitrage path involves unfamiliar contracts, fake tokens, or custom wrappers, caution is essential. Consider enforcing checks on allowance changes after transactions.

View Original Article

Трендовые криптовалюты

ctr
CitreaCTR
wstusdt
wrapped stUSDTWSTUSDT
apr
aPrioriAPR
ctx
Cryptex FinanceCTX
audio
AudiusAUDIO
mantra
MantraMANTRA
xvs
VenusXVS
waxl
AxelarWAXL
bill
Billions NetworkBILL
pyth
PYTH (Pyth)PYTH
rune
THORChainRUNE
velodrome
Velodrome FinanceVELODROME
brev
BrevisBREV
zrx
ZRX(0X)ZRX
cake
PancakeSwapCAKE

Связанные с этим вопросы

QWhat was the total loss suffered by the MEV bot Jaredfromsubway.eth in the honeypot attack on June 21st?

AThe total loss exceeded 7.5 million US dollars worth of crypto assets.

QWhat was the core mechanism used in the honeypot attack to exploit the MEV bot?

AThe core mechanism was deceiving the bot into granting excessive token approvals (allowances). Small, normal-looking trades consumed the approval, while larger trades left the approval intact. The attacker later exploited these retained approvals to drain the bot's funds.

QWhich specific real-world assets (tokens) did the MEV bot lose in this attack?

AThe bot lost USDC, USDT, and WETH. Specifically, it lost $2.87M USDC, $2.04M USDT, and 1,474 WETH (which was later converted to more ETH).

QWhat was one of the final destination addresses for the stolen ETH, as mentioned in the fund flow analysis?

AOne of the final destinations was the privacy mixer Tornado Cash, where 1,000 ETH from address 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 was sent.

QWhat key security recommendation does the article provide for MEV bots and arbitrage robots to prevent similar attacks?

AThe article recommends that MEV bots should not rely solely on simulated profits to judge the safety of a route. They should be cautious with unfamiliar contracts, fake tokens, or custom wrappers in an arbitrage path. Furthermore, they should consider implementing mandatory checks for allowance changes after a transaction.

Похожее

‘Продажа…’ – Как Grayscale планирует покрыть убыток Strategy в $14 млрд

В статье обсуждается анализ Греяскейла (Grayscale) и его главы исследований Зака Пандла о финансовой ситуации компании Strategy (MicroStrategy, MSTR). Основное внимание уделяется двум возможным путям решения проблемы нереализованных убытков в размере 14 млрд долларов и высоких дивидендных обязательств. Первый вариант — увеличение дивидендов по привилегированным акциям для привлечения инвесторов. Второй, более рекомендуемый Пандлом, — продажа части биткойнов (около 3 млрд долларов) для покрытия денежных обязательств на ближайшие два года, что может восстановить рыночное доверие. Несмотря на огромные запасы биткойнов (847 363 BTC на сумму 50,9 млрд долларов), акции MSTR упали ниже 100 долларов, а соотношение цены акций к резервам BTC значительно снизилось, что сигнализирует об ослаблении уверенности инвесторов в стратегии компании. Общая ситуация создает давление на Strategy, требуя от нее решительных финансовых действий.

ambcrypto16 мин. назад

‘Продажа…’ – Как Grayscale планирует покрыть убыток Strategy в $14 млрд

ambcrypto16 мин. назад

Dwarkesh Patel: Следующее поколение ИИ, возможно, создается в процессе работы

Знаменитый технологический подкастер из Кремниевой долины Dwarkesh Patel обсуждает следующую парадигму обучения ИИ, выходящую за рамки текущего подхода RLVR (Reinforcement Learning with Verifiable Rewards). Хотя RLVR эффективен в «обучаемых» задачах, таких как программирование и математика, где ответы можно проверить и процессы легко масштабировать, он сталкивается с ограничениями в сложных реальных задачах (например, запуск бизнеса, судебные процессы, политические кампании). Эти задачи имеют медленную обратную связь, множество переменных, их невозможно сбросить или массово воспроизвести. Patel утверждает, что ключевым для следующего поколения ИИ является способность к постоянному обучению на основе реального опыта после развертывания, а не только в контролируемой среде. Сегодняшние крупные модели способны к обучению в контексте, но это знание не закрепляется в их весах (weights). Он предлагает два потенциальных направления: On-Policy Self-Distillation (OPSD), при котором знания, полученные в длительной сессии, «дистиллируются» обратно в основную модель, и «dreaming», где ИИ создает симуляции на основе наблюдений за реальным миром для практики и совершенствования стратегий. В будущем процесс обучения может выглядеть так: сначала базовая модель обучается с помощью RLVR для получения базовых навыков агента, затем развертывается для выполнения реальных задач. Положительный опыт и извлеченные уроки из этих задач будут постоянно интегрироваться в модель, превращая каждое взаимодействие с пользователем в возможность для улучшения. Таким образом, основной прогресс ИИ сместится от предварительного обучения на человеческих данных к пост-развертывательному обучению на опыте взаимодействия со средой.

marsbit27 мин. назад

Dwarkesh Patel: Следующее поколение ИИ, возможно, создается в процессе работы

marsbit27 мин. назад

Еженедельные победители и аутсайдеры крипторынка – VELVET, BEAT, WLD, XLM

На этой неделе крипторынок находился под давлением. Bitcoin и Ethereum продолжили слабое выступление, в то время как капитал перетек в ряд низкокапитализированных альткойнов, что привело к значительному росту на отдельных токенах. **Лидеры недели:** * **Velvet [VELVET]:** стал крупнейшим еженедельным победителем с ростом на 235%, приблизившись к своему историческому максимуму. Технический анализ предполагает, что восходящий тренд остается в силе, несмотря на перекупленность. * **DeXe [DEXE]:** вырос на 60%, вернувшись к уровню $22 впервые с 2021 года. Активная покупка на просадках указывает на сохранение контроля быков. * **Audiera [BEAT]:** подорожал на 45%, что стало резким разворотом после падения на 70% неделей ранее, указывая на агрессивное возвращение покупателей. Среди других значимых ростов отмечены Cortex [CX] (+2710%) и Biconomy [BICO] (+246%). **Аутсайдеры недели:** * **MemeCore [M]:** обрушился на 70% после сообщений о манипуляциях инсайдеров. Токен находится в глубоко перепроданной зоне, идут первые попытки стабилизации. * **Worldcoin [WLD]:** упал на 26%, что выглядит как здоровая коррекция после пятинедельного ралли. Ключевой уровень поддержки находится возле $0.40. * **Stellar [XLM]:** потерял 18.5%, продолжив серию падения. Пробитие поддержки $0.25 увеличивает риск более глубокой коррекции. К другим заметным падениям относятся Humanity [H] (-71%) и Biconomy [BICO] (-68.5%). Итог недели: высокая волатильность с резкими взлетами и падениями, характерная для ротации капитала в условиях неопределенности.

ambcrypto2 ч. назад

Еженедельные победители и аутсайдеры крипторынка – VELVET, BEAT, WLD, XLM

ambcrypto2 ч. назад

Sui сотрудничает с Token Terminal для предоставления институциональной аналитики в блокчейне

Sui Network объявила о партнерстве с Token Terminal для интеграции финансовых данных и аналитики блокчейна в рабочие процессы институциональных исследований. Цель интеграции — упростить анализ данных сети Sui для профессиональных пользователей, повысив прозрачность и доступность информации для институциональных инвесторов. Важно отметить, что это партнерство направлено на улучшение исследовательской инфраструктуры и не должно рассматриваться как фактор, непосредственно влияющий на цену токена SUI или немедленный рост общего объема заблокированных средств (TVL). В текущих рыночных условиях, когда ликвидность снижена, а направление Биткойна остается неопределенным, подобные обновления экосистемы предоставляют трейдерам конкретные, проверяемые данные для анализа, в отличие от спекулятивных нарративов. Трейдерам рекомендуется обращаться к официальным материалам Sui Foundation и Token Terminal для проверки информации. Эта интеграция представляет собой шаг в развитии инфраструктуры Sui, а не сигнал к немедленным рыночным действиям.

bitcoinist4 ч. назад

Sui сотрудничает с Token Terminal для предоставления институциональной аналитики в блокчейне

bitcoinist4 ч. назад

SecondFi представляет план восстановления после эксплуатации кошелька Cardano на 2,4 миллиона долларов

**ВторойFi представляет план восстановления после взлома кошелька Cardano на $2,4 млн** После эксплуатации уязвимости на уровне кошелька, в результате которой было изъято около $2,4 млн в ADA, протокол SecondFi провел криминалистический анализ. Согласно официальному отчету, команда сделала снимок балансов пострадавших аккаунтов и представила план возврата средств в течение двух недель. Важно отметить, что инцидент связан с уязвимостью конкретного кошелька, а не с недостатками самого блокчейна Cardano. В связи с этим пользователям рекомендуется не делать поспешных выводов о безопасности протокола Cardano без прямых технических доказательств. Эта ситуация служит напоминанием для рынка о важности проверяемых данных — таких как обновления безопасности и записи в блокчейне — особенно в условиях неопределенности, когда внимание к движению средств и официальным заявлениям повышено. Трейдерам следует сосредоточиться на проверке следующих шагов: официальных обновлений от SecondFi и записей транзакций в сети Cardano.

bitcoinist4 ч. назад

SecondFi представляет план восстановления после эксплуатации кошелька Cardano на 2,4 миллиона долларов

bitcoinist4 ч. назад

Торговля

Спот

Популярные статьи

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Manyu - это мемтокен на Ethereum, который приносит децентрализованную культурную и развлекательную ценность через вирусное влияние в соцсетях и вовлечённость сообщества.

2.0k просмотров всегоОпубликовано 2025.11.27Обновлено 2025.11.27

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Ordinals/Runes по-прежнему стимулируют доходы от комиссий за блоки и активность разработчиков, рассматриваются как отправная точка «нативной эмиссии активов» в сети.

1.5k просмотров всегоОпубликовано 2026.04.29Обновлено 2026.04.29

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на ETH (ETH) представлены ниже.

活动图片

Топ вопросы

Популярные категорииright-arrow

Популярные тегиright-arrow