Один из самых печально известных MEV-ботов Ethereum, известный как JaredFromSubway, был, по сообщениям, обезврежен примерно на $7,5 миллионов после того, как контракты, контролируемые злоумышленником, обманули его автоматизированную систему, заставив выдать разрешения на токены (approvals).
TL;DR
- MEV-бот JaredFromSubway был, по сообщениям, обезврежен примерно на $7,5 миллионов.
- Специалисты по безопасности из Blockaid заявили, что бот был обманут, чтобы одобрить мошеннические торговые маршруты.
- Злоумышленник затем использовал эти разрешения для изъятия активов из контракта бота.
- Инцидент, по-видимому, нацелен на собственную автоматизацию бота, а не на сам Ethereum.
CoinDesk сообщил, что Blockaid выявила эксплойт, заявив, что контролируемые злоумышленником контракты обманули бота, заставив его одобрить поддельные торговые маршруты. Эти разрешения позже были использованы для изъятия WETH, USDC и USDT из контракта бота. Инцидент привлек внимание, поскольку JaredFromSubway давно ассоциируется с агрессивным сэндвич-трейдингом на Ethereum.
Иронию трудно не заметить. MEV-боты созданы для того, чтобы использовать крошечные преимущества во времени и маршрутизации в ончейн-рынках. В данном случае слабостью, по-видимому, стала собственная автоматизация бота. Вместо того чтобы извлекать ценность у других пользователей, его сманипулировали, заставив одобрить контракты, которые позже осушили его балансы.
Что произошло
Сообщаемый эксплойт не был взломом базового протокола Ethereum. Это также не было масштабным сбоем крупного DeFi-приложения, используемого обычными вкладчиками. Целью был конкретный MEV-бот и логика, которую он использовал для взаимодействия с контрактами во время автоматизированной торговли.
Это различие важно. Инфраструктура MEV движется быстро и часто полагается на высоко автоматизированное принятие решений. Если эту автоматизацию можно обмануть, заставив одобрить неверный контракт, риск может быть серьезным, потому что транзакции выполняются практически без проверки человеком.
Согласно отчетам, злоумышленник подготовил ловушку, используя поддельные маршруты или контракты, которые бот интерпретировал как прибыльные возможности. После того как разрешения были предоставлены, злоумышленник использовал их для вывода активов. В терминах DeFi это напомнило, что разрешения (approvals) — это мощные полномочия, а не безвредные подписи.
Почему это важно для трейдеров
Эта история больше, чем просто обезвреживание одного бота. Она подчеркивает риск, применимый ко всем автоматизированным торговым системам: скорость может стать уязвимостью. Боты, соревнующиеся на рынках MEV, должны действовать быстрее, чем трейдеры-люди, но это также означает, что они могут быть уязвимы для тщательно спроектированных ловушек.
Для пользователей Ethereum этот инцидент может показаться поэтическим правосудием, поскольку сэндвич-боты широко нелюбимы. Но технический урок шире. Любая система, которая выдает разрешения на токены на основе автоматизированного взаимодействия с контрактами, нуждается в строгих защитных механизмах, симуляциях и проверке маршрутов.
Влияние на рынок вряд ли будет вызвано только суммой в долларах. Изъятие в $7,5 миллионов значимо, но не системно. Более серьезное влияние — репутационное для инфраструктуры MEV и, возможно, операционное для операторов ботов, которым теперь необходимо более агрессивно пересматривать свою логику выдачи разрешений.
На данный момент это следует рассматривать как целевой эксплойт против торгового бота, а не как событие, затрагивающее безопасность всей сети.
Этот отчет основан на информации от Blockaid.
Эта статья была написана редакцией новостей и отредактирована Сэмюэлем Реем.
