Потери превышают 7.5 миллионов долларов: анализ атаки honeypot на MEV-бота и отслеживание украденных средств

marsbitОпубликовано 2026-06-22Обновлено 2026-06-22

Введение

21 июня один из самых активных MEV-ботов в сети Ethereum, Jaredfromsubway.eth, стал жертвой сложной атаки типа "honeypot" (ловушка), в результате которой было похищено активов на сумму более 7,5 миллионов долларов. Атака использовала серию специально созданных контрактов (координатор, триггер, поддельные токены и пулы ликвидности), чтобы имитировать прибыльные арбитражные возможности. Ключевым механизмом была хитроумная схема обмана для получения авторизаций (approvals) на перевод средств. Злоумышленники выполняли мелкие "приманные" транзакции, которые выглядели нормально и полностью расходовали авторизацию, и крупные транзакции, которые оставляли авторизацию нетронутой. MEV-бот, видя прибыль от мелких операций, авторизовал крупные суммы для поддельных контрактов, полагая, что авторизация будет израсходована в процессе свопа. Однако в крупных транзакциях поддельные контракты не использовали авторизацию для перевода реальных токенов, а вместо этого создавали фальшивые. В результате за ботом оставались активные разрешения на перевод крупных сумм USDC, USDT и WETH. В финальной фазе атаки координаторский контракт вызвал функцию drain, которая напрямую перевела все авторизованные средства на адрес злоумышленника. В итоге атакующий адрес получил 2,87 млн USDC, 2,04 млн USDT и 1474 ETH. Большая часть средств была сконвертирована в ETH и распределена по нескольким адресам, часть ETH была отправлена в Tornado Cash. Данный инцидент демонстрирует изощренную тактику, при которой атак...

21 июня один из самых активных MEV-ботов в сети Ethereum, Jaredfromsubway.eth, стал жертвой тщательно спланированной «атаки honeypot», в результате которой было потеряно более 7,5 миллионов долларов в криптоактивах. Ниже представлен анализ данной атаки и отслеживание потока украденных средств от команды безопасности Beosin.

Анализ процесса атаки

Семейство атакующих контрактов

- Координатор контракта (0xb84db016324e8f2bfdd8dd9c260338aee0a8df52): отвечает за запись состояния текущего блока (armed) и на финальном этапе циклически вызывает дочерние контракты для извлечения средств.- Триггер контракта (0x4de8c729a064ff6087cc84a4152969349e4feb98): отвечает за установку поддельного состояния торговых пар в пределах того же блока, делая арбитражный путь выглядещим исполняемым.- Дочерние контракты / поддельные токен-контракты: маскируются под обычные токены ERC-20, чтобы получить реальные разрешения (allowances).- Hub-контракт: отвечает за выплату небольшой реальной прибыли, чтобы MEV-бот считал операцию выгодной.- Ring V2 pair: поддельная торговая пара Uniswap v2.- Поддельные промежуточные токен-контракты: используются для построения многошагового арбитражного пути, например, fCAP, fUSDC.

Ключ атаки: обманное получение разрешений (allowances)

Проанализировав транзакции в блокчейне, злоумышленник сконструировал несколько наборов приманных транзакций:

- Крупная сумма USDC: бот получил прибыль около 36.997120 USDC, но оставил разрешение на 20 USDC.- Крупная сумма USDT: бот получил прибыль около 37.053440 USDT, но оставил разрешение на 20 USDT.- Крупная сумма WETH: бот получил прибыль около 0.0179 WETH, но оставил разрешение на 16 WETH.- Мелкие транзакции выглядели нормально: разрешения (allowances) расходовались в рамках той же транзакции, чтобы снизить подозрения.

В мелких транзакциях после того, как бот выдавал разрешение на использование реальных токенов, дочерний контракт немедленно переводил эти реальные токены, разрешение расходовалось, и всё выглядело совершенно нормально.

В крупных транзакциях дочерний контракт не вызывал transferFrom для перевода реальных токенов, а вместо этого чеканил поддельные токены через сфабрикованные торговые пары. Бот думал, что выполнил обычные подготовительные шаги для обмена (swap), но реальное разрешение на использование токенов (allowance) оставалось сохранённым.

В этом и заключается суть всей атаки: мелкие транзакции нормально расходуют разрешения, крупные транзакции сохраняют разрешения.

Процесс атаки

В качестве примера рассмотрим атакующую транзакцию с USDC:

(1) Злоумышленник вызывает координатор, переводя текущий блок в состояние armed.(2) Злоумышленник вызывает триггер, обновляя состояние нескольких сфабрикованных торговых пар Ring V2.(3) MEV-бот обнаруживает арбитражную возможность и выполняет транзакцию.

Внутренний процесс транзакции MEV-бота выглядел примерно так:

(1) Контракт MEV-бота выдал крупное разрешение на использование USDC (allowance) одному из дочерних контрактов.(2) MEV-бот вызывает функцию wrapTo/wrap дочернего контракта.(3) Поскольку текущее состояние - armed, дочерний контракт не расходует реальные USDC, а вместо этого чеканит поддельные токены для торговой пары. Разрешение на использование USDC остается сохранённым.(4) MEV-бот продолжает вызов функции swap на поддельной торговой паре.(5) Вторая торговая пара отправляет токены MEV-боту.(6) Hub-контракт выплачивает MEV-боту небольшую реальную прибыль в USDC.

Пример approval (разрешения)

Хэш транзакции: 0x0121e07a916c06eea3e7daf11893f3f0b95b9e1684124545ae14c32aee6029bb

Что увидел MEV-бот: успешная арбитражная сделка, принесшая реальную прибыль в USDC. Однако разрешение на использование USDC (allowance) было сохранено дочерним контрактом. Эта схема была повторно выполнена для USDC, USDT, WETH, что в итоге привело к накоплению большого количества разрешений (allowances).

Хэш атакующей транзакции:

0x2be8704f5a59b69e0b71f64aefdb99eb0e8ae9fb3926147c581910d71bcf3e65

Злоумышленник вызывает функцию drain loop контракта-координатора, calldata содержит адреса 66 дочерних контрактов, а также адрес контракта MEV-бота. Если контракт MEV-бота ранее оставил для дочерних контрактов разрешения на использование средств (allowances), то дочерние контракты могут напрямую перевести соответствующие реальные токены злоумышленнику.

Итоговый результат:

- Полностью использованы все крупные разрешения на 20 USDC.- Полностью использованы все крупные разрешения на 16 WETH.- Часть разрешений для USDT всё ещё существует, но баланс USDT уже недостаточен.

Анализ движения средств

После успешной атаки адрес злоумышленника (0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) получил $2.87 млн USDC, $2.04 млн USDT и 1,474 WETH. Затем злоумышленник обменял стейблкоины на ETH и перевёл их на следующие 4 адреса:

- 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (около 1,000 ETH)- 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH)- 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH)- 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH)

Из них 0xe3Da3 уже перевел 1,000 ETH в Tornado Cash, средства на трёх других адресах далее не перемещались. График движения средств представлен ниже:

Заключение

Данная атака демонстрирует высокоточный метод: злоумышленник не атакует код контракта напрямую, а на основе бизнес-логики MEV-бота, конструируя соответствующий арбитражный сценарий, вводит MEV-бота в заблуждение, заставляя его выдавать на первый взгляд безобидные разрешения (allowances), а затем переводит его активы. Для арбитражных ботов и MEV-ботов недостаточно полагаться только на симуляцию прибыли для оценки безопасности маршрута. Особенно когда в арбитражном пути присутствуют незнакомые контракты, поддельные токены или пользовательские обёртки (wrappers), следует проявлять осторожность и, возможно, принудительно проверять изменения в разрешениях (allowances) после транзакции.

Читать оригинал статьи

Трендовые криптовалюты

Связанные с этим вопросы

QЧто такое «атака на основе ловушки (honeypot attack)», и как она была использована против MEV бота Jaredfromsubway.eth?

AАтака на основе ловушки (honeypot attack) — это метод, при котором злоумышленник создаёт привлекательную, но поддельную возможность для жертвы, в данном случае для MEV бота. В этой атаке злоумышленник использовал серию умных контрактов, включая координатор, триггер и поддельные пулы ликвидности, чтобы сконструировать кажущиеся прибыльными арбитражные возможности. Бот, обнаружив эти возможности, предоставлял разрешения (allowances) на крупные суммы токенов (USDC, USDT, WETH) поддельным контрактам. После получения разрешений атакующий смог напрямую вывести средства с адреса бота, что привело к убытку в размере более 7.5 миллионов долларов.

QВ чём заключалась ключевая уловка атаки для получения разрешений (allowances) от MEV бота?

AКлючевая уловка заключалась в различном поведении атакующего контракта для мелких и крупных транзакций. Для мелких арбитражных сделок контракт вёл себя «нормально»: после получения разрешения он немедленно использовал его (transferFrom), чтобы перевести реальные токены, создавая видимость законной операции. Однако для крупных сделок контракт не вызывал transferFor. Вместо этого он создавал («чеканил») поддельные токены внутри сконструированного пула. В результате MEV бот считал, что выполнил сделку и получил небольшую реальную прибыль, но при этом крупное разрешение на использование его реальных токенов оставалось активным и неизрасходованным для поддельного контракта, что позже позволило атакующему украсть средства.

QКакие основные этапы можно выделить в процессе атаки на примере сделки с USDC?

AПроцесс атаки на примере USDC состоял из следующих основных этапов: 1) Атакующий вызывал контракт-координатор, чтобы пометить текущий блок как «вооружённый» (armed). 2) Атакующий вызывал контракт-триггер, чтобы обновить состояние нескольких поддельных пулов ликвидности (Ring V2 pair), создав видимость выгодного арбитражного пути. 3) MEV бот обнаруживал эту возможность и выполнял транзакцию. Внутри транзакции бота происходило: а) предоставление крупного разрешения (approval) на USDC поддельному контракту; б) вызов функции wrap в поддельном контракте, который, увидев состояние «armed», не тратил реальные USDC, а чеканил поддельный токен, оставляя разрешение активным; в) продолжение обмена (swap) через поддельные пулы; г) получение небольшой суммы реальных USDC в качестве «прибыли» от хаба. Таким образом, бот оставался с активным и опасным разрешением.

QКуда были перемещены украденные средства после успешной атаки?

AПосле успешной атаки злоумышленник (адрес 0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) получил $2.87 млн USDC, $2.04 млн USDT и 1,474 ETH. Затем стабильные монеты (USDC и USDT) были обменены на ETH. Общий объём ETH был распределён по четырём адресам: 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (около 1,000 ETH), 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH), 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH) и 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH). Часть средств (1,000 ETH с первого адреса) была отправлена в миксер Tornado Cash. На момент публикации статьи средства на трёх других адресах не были перемещены далее.

QКакой главный вывод и рекомендация для операторов MEV ботов и арбитражных роботов следует из этого инцидента?

AГлавный вывод заключается в том, что для MEV ботов и арбитражных роботов недостаточно полагаться только на симуляцию прибыли при оценке безопасности сделки. Этот инцидент показал, что злоумышленники могут искусно манипулировать состоянием блокчейна, чтобы создать абсолютно реалистичные, но поддельные арбитражные пути. Ключевая рекомендация — проявлять повышенную осторожность при взаимодействии с незнакомыми контрактами, поддельными токенами или кастомными контрактами-обёртками (wrappers). Особенно важно внедрить обязательную проверку изменений в разрешениях (allowances) после каждой транзакции, чтобы немедленно выявлять и отменять неожиданно оставшиеся активные разрешения, которые могут представлять угрозу.

Похожее

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

Год назад президент Дональд Трамп подписал закон GENIUS Act, но регуляторы до сих пор не завершили его реализацию. Ключевые агентства, такие как OCC, ФРС, FDIC и Министерство финансов, продолжают разрабатывать важные правила, касающиеся резервов эмитентов, требований к капиталу, ликвидности, хранения активов и управления рисками. Хотя срок окончательного утверждения норм истек 18 июля, консультации с общественностью по некоторым предложениям всё ещё продолжаются. Несмотря на нормативную неопределенность, отрасль стейблкоинов выросла до более чем 310 миллиардов долларов. Однако таким эмитентам, как Circle и Paxos, всё ещё приходится работать в условиях незавершенных стандартов ликвидности и хранения, что усложняет планирование и операционную устойчивость. Регуляторы планируют начать применять закон с 18 января 2027 года. Тем временем закон уже стимулирует институциональное участие: BlackRock, JPMorgan, Visa и другие крупные игроки запускают продукты, связанные со стейблкоинами. Законодатели, такие как сенатор Синтия Ламмис, призывают к дальнейшим шагам, включая принятие CLARITY Act, для укрепления лидерства США в сфере цифровых активов. Завершение оставшихся правил определит скорость широкого внедрения регулируемых стейблкоинов в финансовую систему страны.

ambcrypto6 ч. назад

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

ambcrypto6 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

Во второй половине 2026 года ликвидность становится ключевым фактором на рынке криптовалют. В то время как общая капитализация стейблкоинов сократилась, в экосистеме Solana наблюдается обратная тенденция: за год было выпущено (отчеканено) более 70 миллиардов долларов в USDC. Это увеличило ликвидность в сети, а количество ежемесячных активных пользователей Solana превысило 100 миллионов. Однако значительный приток стейблкоинов пока не привёл к устойчивому восстановлению. Цена SOL упала более чем на 35% в 2026 году, отставая от снижения Bitcoin. Также наблюдается спад в ключевых показателях активности сети: количество транзакций и торговый объём снизились по сравнению с первым кварталом. Это указывает на то, что растущая ликвидность, возможно, питает в основном спекулятивную активность, а не фундаментальный спрос. В итоге, несмотря на приток USDC, слабость ценового действия SOL и ончейн-активности сохраняется, что может создать риски для её восстановления во второй половине года.

ambcrypto6 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

ambcrypto6 ч. назад

Стажер, 120 тысяч юаней в месяц

"Возможности трудоустройства ошеломляют". На этой неделе в соцсетях стало вирусным сообщение: студент класса Яо (элитная программа Университета Цинхуа) показал предложение о стажировке с ежедневной зарплатой в 5500 юаней до вычета налогов. Это составляет более 120 000 юаней в месяц. Хотя такая зарплата предназначена лишь для небольшого числа студентов, она демонстрирует ожесточенную конкуренцию за таланты в сфере ИИ. Компания DeepSeek, привлекшая первый раунд финансирования в 50 млрд юаней, активно расширяет штат и предлагает высокие зарплаты стажерам, особенно выпускникам элитных программ, таким как класс Яо. Другие технологические гиганты, включая Huawei, Tencent, ByteDance и Moon Dark Side (создатель Kimi), также усиливают "войну за таланты", предлагая щедрые пакеты компенсаций, включая высокие зарплаты, опционы на акции и участие в ключевых проектах, даже студентам и школьникам. На рынке труда ИИ наступил самый "безумный" год: годовые пакеты для выдающихся выпускников в ведущих компаниях могут достигать миллионов юаней, удваиваясь из года в год. Все больше молодых специалистов, часто в возрасте 20-30 лет и выпускников престижных вузов, занимают ключевые позиции, определяя будущее ИИ. Конкуренция в области ИИ — это не только гонка моделей и вычислительных мощностей, но и битва за плотность талантов, где молодое поколение начинает менять правила игры.

marsbit7 ч. назад

Стажер, 120 тысяч юаней в месяц

marsbit7 ч. назад

Торговля

Спот

Популярные статьи

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Manyu - это мемтокен на Ethereum, который приносит децентрализованную культурную и развлекательную ценность через вирусное влияние в соцсетях и вовлечённость сообщества.

2.0k просмотров всегоОпубликовано 2025.11.27Обновлено 2025.11.27

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Ordinals/Runes по-прежнему стимулируют доходы от комиссий за блоки и активность разработчиков, рассматриваются как отправная точка «нативной эмиссии активов» в сети.

1.6k просмотров всегоОпубликовано 2026.04.29Обновлено 2026.04.29

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на ETH (ETH) представлены ниже.

活动图片