Потери превышают 7.5 миллионов долларов: анализ атаки honeypot на MEV-бота и отслеживание украденных средств

marsbitОпубликовано 2026-06-22Обновлено 2026-06-22

Введение

21 июня один из самых активных MEV-ботов в сети Ethereum, Jaredfromsubway.eth, стал жертвой сложной атаки типа "honeypot" (ловушка), в результате которой было похищено активов на сумму более 7,5 миллионов долларов. Атака использовала серию специально созданных контрактов (координатор, триггер, поддельные токены и пулы ликвидности), чтобы имитировать прибыльные арбитражные возможности. Ключевым механизмом была хитроумная схема обмана для получения авторизаций (approvals) на перевод средств. Злоумышленники выполняли мелкие "приманные" транзакции, которые выглядели нормально и полностью расходовали авторизацию, и крупные транзакции, которые оставляли авторизацию нетронутой. MEV-бот, видя прибыль от мелких операций, авторизовал крупные суммы для поддельных контрактов, полагая, что авторизация будет израсходована в процессе свопа. Однако в крупных транзакциях поддельные контракты не использовали авторизацию для перевода реальных токенов, а вместо этого создавали фальшивые. В результате за ботом оставались активные разрешения на перевод крупных сумм USDC, USDT и WETH. В финальной фазе атаки координаторский контракт вызвал функцию drain, которая напрямую перевела все авторизованные средства на адрес злоумышленника. В итоге атакующий адрес получил 2,87 млн USDC, 2,04 млн USDT и 1474 ETH. Большая часть средств была сконвертирована в ETH и распределена по нескольким адресам, часть ETH была отправлена в Tornado Cash. Данный инцидент демонстрирует изощренную тактику, при которой атак...

21 июня один из самых активных MEV-ботов в сети Ethereum, Jaredfromsubway.eth, стал жертвой тщательно спланированной «атаки honeypot», в результате которой было потеряно более 7,5 миллионов долларов в криптоактивах. Ниже представлен анализ данной атаки и отслеживание потока украденных средств от команды безопасности Beosin.

Анализ процесса атаки

Семейство атакующих контрактов

- Координатор контракта (0xb84db016324e8f2bfdd8dd9c260338aee0a8df52): отвечает за запись состояния текущего блока (armed) и на финальном этапе циклически вызывает дочерние контракты для извлечения средств.- Триггер контракта (0x4de8c729a064ff6087cc84a4152969349e4feb98): отвечает за установку поддельного состояния торговых пар в пределах того же блока, делая арбитражный путь выглядещим исполняемым.- Дочерние контракты / поддельные токен-контракты: маскируются под обычные токены ERC-20, чтобы получить реальные разрешения (allowances).- Hub-контракт: отвечает за выплату небольшой реальной прибыли, чтобы MEV-бот считал операцию выгодной.- Ring V2 pair: поддельная торговая пара Uniswap v2.- Поддельные промежуточные токен-контракты: используются для построения многошагового арбитражного пути, например, fCAP, fUSDC.

Ключ атаки: обманное получение разрешений (allowances)

Проанализировав транзакции в блокчейне, злоумышленник сконструировал несколько наборов приманных транзакций:

- Крупная сумма USDC: бот получил прибыль около 36.997120 USDC, но оставил разрешение на 20 USDC.- Крупная сумма USDT: бот получил прибыль около 37.053440 USDT, но оставил разрешение на 20 USDT.- Крупная сумма WETH: бот получил прибыль около 0.0179 WETH, но оставил разрешение на 16 WETH.- Мелкие транзакции выглядели нормально: разрешения (allowances) расходовались в рамках той же транзакции, чтобы снизить подозрения.

В мелких транзакциях после того, как бот выдавал разрешение на использование реальных токенов, дочерний контракт немедленно переводил эти реальные токены, разрешение расходовалось, и всё выглядело совершенно нормально.

В крупных транзакциях дочерний контракт не вызывал transferFrom для перевода реальных токенов, а вместо этого чеканил поддельные токены через сфабрикованные торговые пары. Бот думал, что выполнил обычные подготовительные шаги для обмена (swap), но реальное разрешение на использование токенов (allowance) оставалось сохранённым.

В этом и заключается суть всей атаки: мелкие транзакции нормально расходуют разрешения, крупные транзакции сохраняют разрешения.

Процесс атаки

В качестве примера рассмотрим атакующую транзакцию с USDC:

(1) Злоумышленник вызывает координатор, переводя текущий блок в состояние armed.(2) Злоумышленник вызывает триггер, обновляя состояние нескольких сфабрикованных торговых пар Ring V2.(3) MEV-бот обнаруживает арбитражную возможность и выполняет транзакцию.

Внутренний процесс транзакции MEV-бота выглядел примерно так:

(1) Контракт MEV-бота выдал крупное разрешение на использование USDC (allowance) одному из дочерних контрактов.(2) MEV-бот вызывает функцию wrapTo/wrap дочернего контракта.(3) Поскольку текущее состояние - armed, дочерний контракт не расходует реальные USDC, а вместо этого чеканит поддельные токены для торговой пары. Разрешение на использование USDC остается сохранённым.(4) MEV-бот продолжает вызов функции swap на поддельной торговой паре.(5) Вторая торговая пара отправляет токены MEV-боту.(6) Hub-контракт выплачивает MEV-боту небольшую реальную прибыль в USDC.

Пример approval (разрешения)

Хэш транзакции: 0x0121e07a916c06eea3e7daf11893f3f0b95b9e1684124545ae14c32aee6029bb

Что увидел MEV-бот: успешная арбитражная сделка, принесшая реальную прибыль в USDC. Однако разрешение на использование USDC (allowance) было сохранено дочерним контрактом. Эта схема была повторно выполнена для USDC, USDT, WETH, что в итоге привело к накоплению большого количества разрешений (allowances).

Хэш атакующей транзакции:

0x2be8704f5a59b69e0b71f64aefdb99eb0e8ae9fb3926147c581910d71bcf3e65

Злоумышленник вызывает функцию drain loop контракта-координатора, calldata содержит адреса 66 дочерних контрактов, а также адрес контракта MEV-бота. Если контракт MEV-бота ранее оставил для дочерних контрактов разрешения на использование средств (allowances), то дочерние контракты могут напрямую перевести соответствующие реальные токены злоумышленнику.

Итоговый результат:

- Полностью использованы все крупные разрешения на 20 USDC.- Полностью использованы все крупные разрешения на 16 WETH.- Часть разрешений для USDT всё ещё существует, но баланс USDT уже недостаточен.

Анализ движения средств

После успешной атаки адрес злоумышленника (0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) получил $2.87 млн USDC, $2.04 млн USDT и 1,474 WETH. Затем злоумышленник обменял стейблкоины на ETH и перевёл их на следующие 4 адреса:

- 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (около 1,000 ETH)- 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH)- 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH)- 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH)

Из них 0xe3Da3 уже перевел 1,000 ETH в Tornado Cash, средства на трёх других адресах далее не перемещались. График движения средств представлен ниже:

Заключение

Данная атака демонстрирует высокоточный метод: злоумышленник не атакует код контракта напрямую, а на основе бизнес-логики MEV-бота, конструируя соответствующий арбитражный сценарий, вводит MEV-бота в заблуждение, заставляя его выдавать на первый взгляд безобидные разрешения (allowances), а затем переводит его активы. Для арбитражных ботов и MEV-ботов недостаточно полагаться только на симуляцию прибыли для оценки безопасности маршрута. Особенно когда в арбитражном пути присутствуют незнакомые контракты, поддельные токены или пользовательские обёртки (wrappers), следует проявлять осторожность и, возможно, принудительно проверять изменения в разрешениях (allowances) после транзакции.

Читать оригинал статьи

Трендовые криптовалюты

Связанные с этим вопросы

QЧто такое «атака на основе ловушки (honeypot attack)», и как она была использована против MEV бота Jaredfromsubway.eth?

AАтака на основе ловушки (honeypot attack) — это метод, при котором злоумышленник создаёт привлекательную, но поддельную возможность для жертвы, в данном случае для MEV бота. В этой атаке злоумышленник использовал серию умных контрактов, включая координатор, триггер и поддельные пулы ликвидности, чтобы сконструировать кажущиеся прибыльными арбитражные возможности. Бот, обнаружив эти возможности, предоставлял разрешения (allowances) на крупные суммы токенов (USDC, USDT, WETH) поддельным контрактам. После получения разрешений атакующий смог напрямую вывести средства с адреса бота, что привело к убытку в размере более 7.5 миллионов долларов.

QВ чём заключалась ключевая уловка атаки для получения разрешений (allowances) от MEV бота?

AКлючевая уловка заключалась в различном поведении атакующего контракта для мелких и крупных транзакций. Для мелких арбитражных сделок контракт вёл себя «нормально»: после получения разрешения он немедленно использовал его (transferFrom), чтобы перевести реальные токены, создавая видимость законной операции. Однако для крупных сделок контракт не вызывал transferFor. Вместо этого он создавал («чеканил») поддельные токены внутри сконструированного пула. В результате MEV бот считал, что выполнил сделку и получил небольшую реальную прибыль, но при этом крупное разрешение на использование его реальных токенов оставалось активным и неизрасходованным для поддельного контракта, что позже позволило атакующему украсть средства.

QКакие основные этапы можно выделить в процессе атаки на примере сделки с USDC?

AПроцесс атаки на примере USDC состоял из следующих основных этапов: 1) Атакующий вызывал контракт-координатор, чтобы пометить текущий блок как «вооружённый» (armed). 2) Атакующий вызывал контракт-триггер, чтобы обновить состояние нескольких поддельных пулов ликвидности (Ring V2 pair), создав видимость выгодного арбитражного пути. 3) MEV бот обнаруживал эту возможность и выполнял транзакцию. Внутри транзакции бота происходило: а) предоставление крупного разрешения (approval) на USDC поддельному контракту; б) вызов функции wrap в поддельном контракте, который, увидев состояние «armed», не тратил реальные USDC, а чеканил поддельный токен, оставляя разрешение активным; в) продолжение обмена (swap) через поддельные пулы; г) получение небольшой суммы реальных USDC в качестве «прибыли» от хаба. Таким образом, бот оставался с активным и опасным разрешением.

QКуда были перемещены украденные средства после успешной атаки?

AПосле успешной атаки злоумышленник (адрес 0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) получил $2.87 млн USDC, $2.04 млн USDT и 1,474 ETH. Затем стабильные монеты (USDC и USDT) были обменены на ETH. Общий объём ETH был распределён по четырём адресам: 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (около 1,000 ETH), 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH), 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH) и 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH). Часть средств (1,000 ETH с первого адреса) была отправлена в миксер Tornado Cash. На момент публикации статьи средства на трёх других адресах не были перемещены далее.

QКакой главный вывод и рекомендация для операторов MEV ботов и арбитражных роботов следует из этого инцидента?

AГлавный вывод заключается в том, что для MEV ботов и арбитражных роботов недостаточно полагаться только на симуляцию прибыли при оценке безопасности сделки. Этот инцидент показал, что злоумышленники могут искусно манипулировать состоянием блокчейна, чтобы создать абсолютно реалистичные, но поддельные арбитражные пути. Ключевая рекомендация — проявлять повышенную осторожность при взаимодействии с незнакомыми контрактами, поддельными токенами или кастомными контрактами-обёртками (wrappers). Особенно важно внедрить обязательную проверку изменений в разрешениях (allowances) после каждой транзакции, чтобы немедленно выявлять и отменять неожиданно оставшиеся активные разрешения, которые могут представлять угрозу.

Похожее

Майнеры Bitcoin держатся стойко, пока акции падают – что это значит для BTC

Несмотря на волатильность цены Bitcoin (BTC), которая колебалась около $64 000-$65 000 на фоне данных по индексу потребительских цен, майнеры демонстрируют устойчивость. Индекс финансового здоровья майнеров от CryptoQuant, находясь на уровне около 29%, указывает на условия, исторически сопоставимые с медвежьим рынком, что создает давление на их доходы. Однако, вопреки финансовым трудностям, поток BTC с кошельков майнеров на биржи сократился почти на 36% за период с 1 июля. Это потенциально снижает непосредственное давление продаж на рынке. При этом общая стоимость Bitcoin в кошельках майнеров выросла на $4.7 млрд, что во многом связано с ростом цены самой криптоваалюты. Парадокс наблюдается в секторе акций майнинговых компаний (таких как Cipher Mining, Iris Energy, TeraWulf), которые упали на 12% за месяц, демонстрируя опасения инвесторов относительно операционных расходов и прибыльности. Таким образом, хотя майнеры и сократили непосредственные продажи, что может поддержать цену BTC в попытках закрепиться выше $65 000, их собственное финансовое положение и рыночная оценка остаются под давлением.

ambcrypto42 мин. назад

Майнеры Bitcoin держатся стойко, пока акции падают – что это значит для BTC

ambcrypto42 мин. назад

Руководство по альтсезону 2026: Анализ текущих значений и рыночных сигналов. Пора ли готовиться к альтсезону?

**2026 год: руководство к сезону альткойнов — текущие показатели и рыночные сигналы** Сезон альткойнов начинается, когда альтернативные криптовалюты начинают обгонять по доходности биткоин. Основной критерий — 75% из топ-50 монет показывают лучшие результаты, чем BTC, за 90 дней. Исторически такие периоды длятся 2–6 месяцев. Однако текущий цикл отличается из-за "стены ETF": крупные институциональные инвестиции через биткоин-ETF могут сдерживать быстрый отток капитала из BTC в альткойны. Для начала полноценного сезона может потребоваться фиксация прибыли по биткоину и приток новой ликвидности. **Как определить начало сезона?** Ключевой инструмент — Altseason Index. Значение выше 75 указывает на возможное начало. Однако в 2026 году важно дополнительно подтверждение через укрепление пар ETH/BTC и SOL/BTC. Следите также за снижением доминирования биткоина (доли в общей капитализации) ниже 50-55% и опережающим ростом общей капитализации альткойнов. **Этапы и стратегии** Современные сезоны проходят волнообразно, капитал вращается между нарративами (например, AI, RWA, DePIN, GameFi), а не равномерно заливает все монеты. * **Фаза накопления:** BTC консолидируется, альткойны падают, интерес низкий — лучшее время для исследований. * **Ранняя фаза:** Капитал приходит в самые перспективные сектора. * **Пиковая фаза:** Ажиотаж, резкий рост малых кап-проектов, чрезмерный оптимизм — сигнал к осторожности. **Стратегии для инвестора:** * Диверсификация портфеля по секторам и соблюдение рисков (например, лимит 5-10% на одну позицию). * Дисциплинированный стоп-лосс и фиксация прибыли. * Наличие части капитала в стейблкоинах для гибкости. **Прогноз на 2026 год и подготовка** Официальный сезон альткойнов еще не начался (доминирование BTC ~56-60%). Многие аналитики ожидают благоприятные условия в 2026-2027 гг. после халвинга 2024 года, но сроки зависят от макроэкономики и ликвидности. Готовиться стоит уже сейчас: составить "список наблюдения" из проектов с сильной базой, активной разработкой и четким用例. Следите за ключевыми показателями и избегайте решений на эмоциях.

Foresight News50 мин. назад

Руководство по альтсезону 2026: Анализ текущих значений и рыночных сигналов. Пора ли готовиться к альтсезону?

Foresight News50 мин. назад

Возможно, это самая потрясающая картинка на WAIC в этом году!

Новая модель от SenseTime, SenseNova U1 Pro, была представлена на WAIC 2026. Её ключевые особенности — генерация изображений с собственным эскизированием, проектированием, проверкой и нативной поддержкой разрешения 8K. В отличие от моделей, требующих многочисленных попыток, U1 Pro ориентирована на готовый продукт. Она способна понимать цели, планировать, организовывать информацию, генерировать контент и вносить коррективы для конечной сдачи проекта. Тесты включали создание длинного изображения по теме 24 солнечных терминов, плаката для продвинутой лаборатории, иллюстрации древней архитектуры в стиле перегородчатой эмали и киноафиши коммерческого уровня. Модель демонстрирует умение организовывать сложную информацию, поддерживать последовательность и детализацию в крупных форматах. По аналогии с развитием AI в кодинге, U1 Pro представляет собой переход к системной генерации контента, где модель несёт ответственность за финальный результат, открывая новые возможности в визуальном дизайне.

marsbit2 ч. назад

Возможно, это самая потрясающая картинка на WAIC в этом году!

marsbit2 ч. назад

Как произошло текущее снижение левериджа на корейском фондовом рынке?

**Как произошел этот раунд снижения левериджа на корейском фондовом рынке?** Ключевые этапы и механизмы краха в период с 23 июня по 16 июля 2026 года: **Предпосылки (до 23 июня):** * Введение 27 мая двойных левериджированных ETF на акции Samsung и SK Hynix привело к сверхконцентрации капитала и создало структурный рычаг внутри индекса KOSPI (доля двух компаний превысила 50%). * Высказывания регулятора (FSS) 22 июня о поспешном одобрении продуктов подорвали веру в неограниченную поддержку левериджа. **Хронология снижения левериджа:** 1. **23 июня:** Падение KOSPI на 9.99%. Начало ценового снижения левериджа, но объем маржинального долга не уменьшился — инвесторы докупали в падении. 2. **24-25 июня:** Технический отскок. Произошел парадокс: старые убыточные позиции принудительно закрывались, но новые инвесторы активно брали кредиты для покупок, достигнув пика маржинального долга. 3. **26-30 июня:** Иностранные институциональные инвесторы выводили средства для ребалансировки портфелей, а корейские розничные инвесторы стали их главным контрагентом, перенося риски на свои балансы. 4. **1-3 июля:** Рост глобальных сомнений в устойчивости расходов на ИИ и цикла прибылей в полупроводниках. Левериджированные ETF усиливали волатильность, механически продавая при падении и покупая при росте. 5. **6-8 июля:** Фаза "хорошие новости не работают". Отличная отчетность Samsung не поддержала цены, что указывало на смену нарратива. Падение распространилось на другие сектора. 6. **9-10 июля:** Рост объемов принудительного закрытия позиций с запаздыванием. Запуск ADR SK Hynix в США создал новые каналы для трансграничной передачи рисков и левериджа. 7. **13-15 июля:** Классический каскадный сброс левериджа 13 июля (-8.95%) с синхронными продажами иностранцев, институтов, ETF и по маржин-коллам. Однако розничные инвесторы продолжили массовые чистые покупки. Отскок 15 июля был во многом механическим. 8. **16 июля:** Регуляторное и монетарное ужесточение. Банк Кореи повысил ставку, FSC объявил о жестких ограничениях на левериджированные продукты, что перевело процесс снижения левериджа в институциональную фазу. **Итог:** Падение KOSPI на 25.17% к 16 июля было результатом сложной отрицательной обратной связи, где левериджированные ETF выступали мощным усилителем, а маржинальная торговля создавала риск каскадных закрытий позиций. Снижение цен опережало фактическое сокращение долга по маржинальным кредитам.

marsbit2 ч. назад

Как произошло текущее снижение левериджа на корейском фондовом рынке?

marsbit2 ч. назад

Кит Ethereum продает ETH на $55 млн – Смогут ли быки поглотить давление?

Стоимость Ethereum (ETH) упала ниже $1900 и достигла уровня около $1843, несмотря на небольшой рост за сутки. В условиях снижения рыночного импульса наблюдается увеличение распределения монет китами. Один кит продал 30 000 ETH на сумму $55 млн через внебиржевую площадку Galaxy Digital, конвертировав актив в USDC. За неделю 188 китов продали 462 631 ETH, в то время как 167 китов купили 448 638 ETH, что свидетельствует о небольшом превышении продаж. Чистый приток на биржи составил 3100 ETH, увеличивая давление со стороны предложения. Несмотря на это, технические индикаторы, такие как Aroon Up (78) и MACD (35), сохраняют бычий наклон, указывая, что продавцы еще не доминируют полностью. Если давление продаж усилится, ETH может опуститься до $1700, однако поглощение этого объема может помочь быкам вернуть уровень $1900.

ambcrypto2 ч. назад

Кит Ethereum продает ETH на $55 млн – Смогут ли быки поглотить давление?

ambcrypto2 ч. назад

Торговля

Спот

Популярные статьи

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Manyu - это мемтокен на Ethereum, который приносит децентрализованную культурную и развлекательную ценность через вирусное влияние в соцсетях и вовлечённость сообщества.

2.0k просмотров всегоОпубликовано 2025.11.27Обновлено 2025.11.27

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Ordinals/Runes по-прежнему стимулируют доходы от комиссий за блоки и активность разработчиков, рассматриваются как отправная точка «нативной эмиссии активов» в сети.

1.6k просмотров всегоОпубликовано 2026.04.29Обновлено 2026.04.29

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на ETH (ETH) представлены ниже.

活动图片