Потери превышают 7.5 миллионов долларов: анализ атаки honeypot на MEV-бота и отслеживание украденных средств

marsbitОпубликовано 2026-06-22Обновлено 2026-06-22

Введение

21 июня один из самых активных MEV-ботов в сети Ethereum, Jaredfromsubway.eth, стал жертвой сложной атаки типа "honeypot" (ловушка), в результате которой было похищено активов на сумму более 7,5 миллионов долларов. Атака использовала серию специально созданных контрактов (координатор, триггер, поддельные токены и пулы ликвидности), чтобы имитировать прибыльные арбитражные возможности. Ключевым механизмом была хитроумная схема обмана для получения авторизаций (approvals) на перевод средств. Злоумышленники выполняли мелкие "приманные" транзакции, которые выглядели нормально и полностью расходовали авторизацию, и крупные транзакции, которые оставляли авторизацию нетронутой. MEV-бот, видя прибыль от мелких операций, авторизовал крупные суммы для поддельных контрактов, полагая, что авторизация будет израсходована в процессе свопа. Однако в крупных транзакциях поддельные контракты не использовали авторизацию для перевода реальных токенов, а вместо этого создавали фальшивые. В результате за ботом оставались активные разрешения на перевод крупных сумм USDC, USDT и WETH. В финальной фазе атаки координаторский контракт вызвал функцию drain, которая напрямую перевела все авторизованные средства на адрес злоумышленника. В итоге атакующий адрес получил 2,87 млн USDC, 2,04 млн USDT и 1474 ETH. Большая часть средств была сконвертирована в ETH и распределена по нескольким адресам, часть ETH была отправлена в Tornado Cash. Данный инцидент демонстрирует изощренную тактику, при которой атак...

21 июня один из самых активных MEV-ботов в сети Ethereum, Jaredfromsubway.eth, стал жертвой тщательно спланированной «атаки honeypot», в результате которой было потеряно более 7,5 миллионов долларов в криптоактивах. Ниже представлен анализ данной атаки и отслеживание потока украденных средств от команды безопасности Beosin.

Анализ процесса атаки

Семейство атакующих контрактов

- Координатор контракта (0xb84db016324e8f2bfdd8dd9c260338aee0a8df52): отвечает за запись состояния текущего блока (armed) и на финальном этапе циклически вызывает дочерние контракты для извлечения средств.- Триггер контракта (0x4de8c729a064ff6087cc84a4152969349e4feb98): отвечает за установку поддельного состояния торговых пар в пределах того же блока, делая арбитражный путь выглядещим исполняемым.- Дочерние контракты / поддельные токен-контракты: маскируются под обычные токены ERC-20, чтобы получить реальные разрешения (allowances).- Hub-контракт: отвечает за выплату небольшой реальной прибыли, чтобы MEV-бот считал операцию выгодной.- Ring V2 pair: поддельная торговая пара Uniswap v2.- Поддельные промежуточные токен-контракты: используются для построения многошагового арбитражного пути, например, fCAP, fUSDC.

Ключ атаки: обманное получение разрешений (allowances)

Проанализировав транзакции в блокчейне, злоумышленник сконструировал несколько наборов приманных транзакций:

- Крупная сумма USDC: бот получил прибыль около 36.997120 USDC, но оставил разрешение на 20 USDC.- Крупная сумма USDT: бот получил прибыль около 37.053440 USDT, но оставил разрешение на 20 USDT.- Крупная сумма WETH: бот получил прибыль около 0.0179 WETH, но оставил разрешение на 16 WETH.- Мелкие транзакции выглядели нормально: разрешения (allowances) расходовались в рамках той же транзакции, чтобы снизить подозрения.

В мелких транзакциях после того, как бот выдавал разрешение на использование реальных токенов, дочерний контракт немедленно переводил эти реальные токены, разрешение расходовалось, и всё выглядело совершенно нормально.

В крупных транзакциях дочерний контракт не вызывал transferFrom для перевода реальных токенов, а вместо этого чеканил поддельные токены через сфабрикованные торговые пары. Бот думал, что выполнил обычные подготовительные шаги для обмена (swap), но реальное разрешение на использование токенов (allowance) оставалось сохранённым.

В этом и заключается суть всей атаки: мелкие транзакции нормально расходуют разрешения, крупные транзакции сохраняют разрешения.

Процесс атаки

В качестве примера рассмотрим атакующую транзакцию с USDC:

(1) Злоумышленник вызывает координатор, переводя текущий блок в состояние armed.(2) Злоумышленник вызывает триггер, обновляя состояние нескольких сфабрикованных торговых пар Ring V2.(3) MEV-бот обнаруживает арбитражную возможность и выполняет транзакцию.

Внутренний процесс транзакции MEV-бота выглядел примерно так:

(1) Контракт MEV-бота выдал крупное разрешение на использование USDC (allowance) одному из дочерних контрактов.(2) MEV-бот вызывает функцию wrapTo/wrap дочернего контракта.(3) Поскольку текущее состояние - armed, дочерний контракт не расходует реальные USDC, а вместо этого чеканит поддельные токены для торговой пары. Разрешение на использование USDC остается сохранённым.(4) MEV-бот продолжает вызов функции swap на поддельной торговой паре.(5) Вторая торговая пара отправляет токены MEV-боту.(6) Hub-контракт выплачивает MEV-боту небольшую реальную прибыль в USDC.

Пример approval (разрешения)

Хэш транзакции: 0x0121e07a916c06eea3e7daf11893f3f0b95b9e1684124545ae14c32aee6029bb

Что увидел MEV-бот: успешная арбитражная сделка, принесшая реальную прибыль в USDC. Однако разрешение на использование USDC (allowance) было сохранено дочерним контрактом. Эта схема была повторно выполнена для USDC, USDT, WETH, что в итоге привело к накоплению большого количества разрешений (allowances).

Хэш атакующей транзакции:

0x2be8704f5a59b69e0b71f64aefdb99eb0e8ae9fb3926147c581910d71bcf3e65

Злоумышленник вызывает функцию drain loop контракта-координатора, calldata содержит адреса 66 дочерних контрактов, а также адрес контракта MEV-бота. Если контракт MEV-бота ранее оставил для дочерних контрактов разрешения на использование средств (allowances), то дочерние контракты могут напрямую перевести соответствующие реальные токены злоумышленнику.

Итоговый результат:

- Полностью использованы все крупные разрешения на 20 USDC.- Полностью использованы все крупные разрешения на 16 WETH.- Часть разрешений для USDT всё ещё существует, но баланс USDT уже недостаточен.

Анализ движения средств

После успешной атаки адрес злоумышленника (0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) получил $2.87 млн USDC, $2.04 млн USDT и 1,474 WETH. Затем злоумышленник обменял стейблкоины на ETH и перевёл их на следующие 4 адреса:

- 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (около 1,000 ETH)- 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH)- 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH)- 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH)

Из них 0xe3Da3 уже перевел 1,000 ETH в Tornado Cash, средства на трёх других адресах далее не перемещались. График движения средств представлен ниже:

Заключение

Данная атака демонстрирует высокоточный метод: злоумышленник не атакует код контракта напрямую, а на основе бизнес-логики MEV-бота, конструируя соответствующий арбитражный сценарий, вводит MEV-бота в заблуждение, заставляя его выдавать на первый взгляд безобидные разрешения (allowances), а затем переводит его активы. Для арбитражных ботов и MEV-ботов недостаточно полагаться только на симуляцию прибыли для оценки безопасности маршрута. Особенно когда в арбитражном пути присутствуют незнакомые контракты, поддельные токены или пользовательские обёртки (wrappers), следует проявлять осторожность и, возможно, принудительно проверять изменения в разрешениях (allowances) после транзакции.

Читать оригинал статьи

Трендовые криптовалюты

Связанные с этим вопросы

QЧто такое «атака на основе ловушки (honeypot attack)», и как она была использована против MEV бота Jaredfromsubway.eth?

AАтака на основе ловушки (honeypot attack) — это метод, при котором злоумышленник создаёт привлекательную, но поддельную возможность для жертвы, в данном случае для MEV бота. В этой атаке злоумышленник использовал серию умных контрактов, включая координатор, триггер и поддельные пулы ликвидности, чтобы сконструировать кажущиеся прибыльными арбитражные возможности. Бот, обнаружив эти возможности, предоставлял разрешения (allowances) на крупные суммы токенов (USDC, USDT, WETH) поддельным контрактам. После получения разрешений атакующий смог напрямую вывести средства с адреса бота, что привело к убытку в размере более 7.5 миллионов долларов.

QВ чём заключалась ключевая уловка атаки для получения разрешений (allowances) от MEV бота?

AКлючевая уловка заключалась в различном поведении атакующего контракта для мелких и крупных транзакций. Для мелких арбитражных сделок контракт вёл себя «нормально»: после получения разрешения он немедленно использовал его (transferFrom), чтобы перевести реальные токены, создавая видимость законной операции. Однако для крупных сделок контракт не вызывал transferFor. Вместо этого он создавал («чеканил») поддельные токены внутри сконструированного пула. В результате MEV бот считал, что выполнил сделку и получил небольшую реальную прибыль, но при этом крупное разрешение на использование его реальных токенов оставалось активным и неизрасходованным для поддельного контракта, что позже позволило атакующему украсть средства.

QКакие основные этапы можно выделить в процессе атаки на примере сделки с USDC?

AПроцесс атаки на примере USDC состоял из следующих основных этапов: 1) Атакующий вызывал контракт-координатор, чтобы пометить текущий блок как «вооружённый» (armed). 2) Атакующий вызывал контракт-триггер, чтобы обновить состояние нескольких поддельных пулов ликвидности (Ring V2 pair), создав видимость выгодного арбитражного пути. 3) MEV бот обнаруживал эту возможность и выполнял транзакцию. Внутри транзакции бота происходило: а) предоставление крупного разрешения (approval) на USDC поддельному контракту; б) вызов функции wrap в поддельном контракте, который, увидев состояние «armed», не тратил реальные USDC, а чеканил поддельный токен, оставляя разрешение активным; в) продолжение обмена (swap) через поддельные пулы; г) получение небольшой суммы реальных USDC в качестве «прибыли» от хаба. Таким образом, бот оставался с активным и опасным разрешением.

QКуда были перемещены украденные средства после успешной атаки?

AПосле успешной атаки злоумышленник (адрес 0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) получил $2.87 млн USDC, $2.04 млн USDT и 1,474 ETH. Затем стабильные монеты (USDC и USDT) были обменены на ETH. Общий объём ETH был распределён по четырём адресам: 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (около 1,000 ETH), 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH), 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH) и 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH). Часть средств (1,000 ETH с первого адреса) была отправлена в миксер Tornado Cash. На момент публикации статьи средства на трёх других адресах не были перемещены далее.

QКакой главный вывод и рекомендация для операторов MEV ботов и арбитражных роботов следует из этого инцидента?

AГлавный вывод заключается в том, что для MEV ботов и арбитражных роботов недостаточно полагаться только на симуляцию прибыли при оценке безопасности сделки. Этот инцидент показал, что злоумышленники могут искусно манипулировать состоянием блокчейна, чтобы создать абсолютно реалистичные, но поддельные арбитражные пути. Ключевая рекомендация — проявлять повышенную осторожность при взаимодействии с незнакомыми контрактами, поддельными токенами или кастомными контрактами-обёртками (wrappers). Особенно важно внедрить обязательную проверку изменений в разрешениях (allowances) после каждой транзакции, чтобы немедленно выявлять и отменять неожиданно оставшиеся активные разрешения, которые могут представлять угрозу.

Похожее

Диалог с сооснователем Hyperdash: Почему Hyperliquid все еще сильно недооценен?

Источник: The Rollup Сооснователь и CRO платформы анализа данных Hyperdash, Hanson Birringer, в подкасте The Rollup объяснил, почему Hyperliquid остается недооцененным. Он выделил три ключевых тренда, на которых строится экосистема: децентрализованные бессрочные фьючерсы (перпеты), токенизированные реальные активы (RWA) и стейблкоины. Hyperliquid — это децентрализованная платформа, которая объединяет высокую производительность, необходимую институциональным инвесторам, с открытостью и разрешениями криптовалютного пространства. Платформа уже является лидером среди DEX по объему открытого интереса и торговли перпетами, включая новые рынки, такие как товары и акции. Важным шагом стало внедрение USDC в качестве основного расчётного актива, что создает новую модель получения дохода. Часть доходов от стейблкоинов (которые размещаются в низкорисковые активы, например, казначейские облигации США) направляется в фонд для выкупа и сжигания собственного токена HYPE, создавая постоянный покупательский спрос. Для привлечения традиционных институциональных капиталов был создан фонд Hyper Holdings, который выступил посевным инвестором для ETF на Hyperliquid от Grayscale. Это дает институциям удобный и регулируемый доступ к экосистеме. Несмотря на текущие регуляторные сложности для прямого подключения традиционных брокерских платформ, команда активно работает с регуляторами, чтобы создать чёткие правила для децентрализованных торговых площадок. Приобретение Hyperdash компании Imperator укрепило инфраструктуру данных и нод, улучшив инструменты как для розничных, так и для институциональных трейдеров. По мнению Беррингера, основной бычий сценарий для Hyperliquid связан с глобальной финансовой инклюзией — предоставлением доступа к ликвидности миллиардам людей через смартфон. Медвежий сценарий, который мог бы остановить этот рост, маловероятен, так как соответствует долгосрочным трендам цифровизации и открытости финансов.

marsbit49 мин. назад

Диалог с сооснователем Hyperdash: Почему Hyperliquid все еще сильно недооценен?

marsbit49 мин. назад

Обнародована «полнокровная» версия DeepSeek V4, релиз, возможно, уже завтра

Весь Интернет ждал почти три месяца! Официальный релиз DeepSeek V4 ожидается уже завтра или в ближайшие дни. Некоторые пользователи уже получили доступ к предварительному тестированию. Будут выпущены две версии: DeepSeek V4 Flash и DeepSeek V4 Pro. По предварительным оценкам, общая производительность модели находится на уровне Opus 4.8, способности в области программирования сравнимы с GPT-5.6 Sol, а возможности Agent, генерации 3D и SVG значительно улучшились. Хотя, вероятно, она не превзойдёт недавно выпущенный Kimi K3, её цена будет заметно ниже. В первых демонстрациях уже видны возможности V4: создание 3D-игр, HTML-игр в стиле смеси Minecraft и No Man’s Sky, классической игры Cut the Rope и т.д. Важнейшим фактором станет цена. DeepSeek внедрит «пиковое ценообразование» для API. Стоимость миллиона выходных токенов для deepseek-v4-pro составит $0,87 в обычное время и $1,74 в пиковый период; для deepseek-v4-flash — $0,28 и $0,56 соответственно, при этом цена за кэшированные входные токены остаётся крайне низкой. По сравнению с Fable 5 ($50 за миллион выходных токенов), V4 сохраняет огромное преимущество в соотношении цены и производительности. Это следует проверенной стратегии DeepSeek: предложить возможности уровня Opus по значительно более низкой цене. С 24 июля модели deepseek-chat и deepseek-reasoner будут сняты с эксплуатации. Ожидается, что DeepSeek V4, сочетая высокую производительность и привлекательную стоимость, вновь создаст «момент DeepSeek» на рынке.

marsbit57 мин. назад

Обнародована «полнокровная» версия DeepSeek V4, релиз, возможно, уже завтра

marsbit57 мин. назад

WEEX Labs Еженедельный обзор: «Перераспределение власти» в инфраструктуре ИИ и «глубокое погружение» в реальную экономику

Июль 2026 года ознаменовал ключевой поворот в индустрии ИИ: **переход права распределения вычислительных мощностей от «облачных гигантов» к «владельцам вычислений» и смещение ценностного ориентира ИИ от «гонки параметров» к «интеграции в реальный сектор»**. Основные изменения недели: * **Реорганизация облака вычислений**: Meta анонсировала услугу «MetaCompute», бросая вызов традиционным провайдерам (AWS, Azure). Это усиливает конкуренцию и делает «экосистему больших моделей» ключевым фактором выбора для предприятий. * **Прорыв китайских моделей**: Открытый исходный код и запуск моделей (DeepSeek-V4, Tencent Hunyuan Hy-3) указывают на этап «коммунальности». Конкуренция смещается в сторону экстремального соотношения цены и качества, снижая порог входа. * **Воплощенный ИИ на практике**: Политика стимулирует переход человекоподобных роботов из лабораторий в реальные производственные условия (логистика, автомобилестроение). Ценность измеряется стабильностью данных и реальной эффективностью на фабрике. * **Глобальное управление**: Концепция «суверенного ИИ» становится практической основой для национальных стратегий, устанавливая более высокие барьеры соответствия и требования к архитектуре моделей. **Итог**: Процветание ИИ переходит от виртуального мира к интеграции в глобальную производственную ткань. Рекомендации для компаний: 1. Использовать открытые модели (например, DeepSeek) для создания частных корпоративных решений. 2. Избегать «блокировки поставщика» вычислительных мощностей, сохраняя разнообразие. 3. Искать возможности в инфраструктуре для воплощенного ИИ (сбор данных, промышленное ПО, сервисы адаптации), а не только в создании роботов.

marsbit1 ч. назад

WEEX Labs Еженедельный обзор: «Перераспределение власти» в инфраструктуре ИИ и «глубокое погружение» в реальную экономику

marsbit1 ч. назад

Надежен ли WEEX TradFi? Что вам следует знать перед первой торговлей токенизированными акциями США

В последние годы пользователи крипторынка все чаще обращают внимание на традиционные финансовые активы, такие как акции ведущих компаний (Nvidia, Apple и др.), индексы и товары. Это стирает границы между криптовалютными и традиционными рынками. Такие платформы, как WEEX TradFi, предлагают токенизированные версии этих активов (токены акций), позволяя торговать ими в привычной цифровой среде. Важно понимать, что торговля токенами акций (например, токеном NVDA) — это не то же самое, что владение реальными акциями. Пользователи получают доступ к ценовым движениям базового актива, но не становятся акционерами с правом голоса или получения дивидендов. Преимуществом является знакомый интерфейс и возможность торговли 24/7, в отличие от традиционных бирж с фиксированными часами работы. Перед началом торговли необходимо оценить надежность продукта: понять его механизм, как отслеживается цена базового актива, а также осознавать связанные риски. Традиционные активы также подвержены волатильности из-за корпоративных новостей, макроэкономических факторов и изменений ликвидности в нерабочее время основных бирж. Таким образом, TradFi становится новым мостом, соединяющим мир криптовалют с глобальными финансовыми рынками. Для пользователей ключевое значение имеют прозрачность правил торговли, управление рисками и четкое понимание того, чем они торгуют. Надежность платформы определяется не только ассортиментом активов, но и способностью пользователя ответственно подходить к торговле в этой новой, расширенной среде.

marsbit1 ч. назад

Надежен ли WEEX TradFi? Что вам следует знать перед первой торговлей токенизированными акциями США

marsbit1 ч. назад

Coinbase «немного отдалилась от пользователей», утверждает Cobie — Есть ли решение?

Известный криптоинфлюэнсер Rune спросил Джордана Фиша (Cobie), как он планирует увеличить использование приложения Base, учитывая, что руководство Base подорвало доверие криптосообщества. Фиш, отвечающий за торговые продукты Coinbase и недавно возглавивший Base App, признал, что Coinbase находилась в «башне из слоновой кости» и была дистанцирована от пользователей, особенно от криптоэнтузиастов. Его цель — сблизить разработчиков и пользователей, лучше представлять интересы ончейн-сообщества и создавать продукты, которые людям действительно нравятся. Ситуация усугубилась инцидентом с генеральным директором Coinbase Брайаном Армстронгом, который использовал в качестве аватара CryptoPunk, которым не владел. После критики он сменил аватар на мем с собой, что спровоцировало создание мемкоина «Brian» на Base, чья капитализация быстро достигла $20 млн. После покупки настоящего CryptoPunk за $200 000 и смены аватара интерес к мемкоину угас, и его стоимость рухнула. В итоге, Jordan Fish признает необходимость восстановления доверия, а инцидент с Армстронгом добавил напряженности в и без того сложную ситуацию вокруг Coinbase и Base.

ambcrypto1 ч. назад

Coinbase «немного отдалилась от пользователей», утверждает Cobie — Есть ли решение?

ambcrypto1 ч. назад

Торговля

Спот

Популярные статьи

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Manyu - это мемтокен на Ethereum, который приносит децентрализованную культурную и развлекательную ценность через вирусное влияние в соцсетях и вовлечённость сообщества.

2.0k просмотров всегоОпубликовано 2025.11.27Обновлено 2025.11.27

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Ordinals/Runes по-прежнему стимулируют доходы от комиссий за блоки и активность разработчиков, рассматриваются как отправная точка «нативной эмиссии активов» в сети.

1.6k просмотров всегоОпубликовано 2026.04.29Обновлено 2026.04.29

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на ETH (ETH) представлены ниже.

活动图片