Потери превышают 7.5 миллионов долларов: анализ атаки honeypot на MEV-бота и отслеживание украденных средств

marsbitОпубликовано 2026-06-22Обновлено 2026-06-22

Введение

21 июня один из самых активных MEV-ботов в сети Ethereum, Jaredfromsubway.eth, стал жертвой сложной атаки типа "honeypot" (ловушка), в результате которой было похищено активов на сумму более 7,5 миллионов долларов. Атака использовала серию специально созданных контрактов (координатор, триггер, поддельные токены и пулы ликвидности), чтобы имитировать прибыльные арбитражные возможности. Ключевым механизмом была хитроумная схема обмана для получения авторизаций (approvals) на перевод средств. Злоумышленники выполняли мелкие "приманные" транзакции, которые выглядели нормально и полностью расходовали авторизацию, и крупные транзакции, которые оставляли авторизацию нетронутой. MEV-бот, видя прибыль от мелких операций, авторизовал крупные суммы для поддельных контрактов, полагая, что авторизация будет израсходована в процессе свопа. Однако в крупных транзакциях поддельные контракты не использовали авторизацию для перевода реальных токенов, а вместо этого создавали фальшивые. В результате за ботом оставались активные разрешения на перевод крупных сумм USDC, USDT и WETH. В финальной фазе атаки координаторский контракт вызвал функцию drain, которая напрямую перевела все авторизованные средства на адрес злоумышленника. В итоге атакующий адрес получил 2,87 млн USDC, 2,04 млн USDT и 1474 ETH. Большая часть средств была сконвертирована в ETH и распределена по нескольким адресам, часть ETH была отправлена в Tornado Cash. Данный инцидент демонстрирует изощренную тактику, при которой атак...

21 июня один из самых активных MEV-ботов в сети Ethereum, Jaredfromsubway.eth, стал жертвой тщательно спланированной «атаки honeypot», в результате которой было потеряно более 7,5 миллионов долларов в криптоактивах. Ниже представлен анализ данной атаки и отслеживание потока украденных средств от команды безопасности Beosin.

Анализ процесса атаки

Семейство атакующих контрактов

- Координатор контракта (0xb84db016324e8f2bfdd8dd9c260338aee0a8df52): отвечает за запись состояния текущего блока (armed) и на финальном этапе циклически вызывает дочерние контракты для извлечения средств.- Триггер контракта (0x4de8c729a064ff6087cc84a4152969349e4feb98): отвечает за установку поддельного состояния торговых пар в пределах того же блока, делая арбитражный путь выглядещим исполняемым.- Дочерние контракты / поддельные токен-контракты: маскируются под обычные токены ERC-20, чтобы получить реальные разрешения (allowances).- Hub-контракт: отвечает за выплату небольшой реальной прибыли, чтобы MEV-бот считал операцию выгодной.- Ring V2 pair: поддельная торговая пара Uniswap v2.- Поддельные промежуточные токен-контракты: используются для построения многошагового арбитражного пути, например, fCAP, fUSDC.

Ключ атаки: обманное получение разрешений (allowances)

Проанализировав транзакции в блокчейне, злоумышленник сконструировал несколько наборов приманных транзакций:

- Крупная сумма USDC: бот получил прибыль около 36.997120 USDC, но оставил разрешение на 20 USDC.- Крупная сумма USDT: бот получил прибыль около 37.053440 USDT, но оставил разрешение на 20 USDT.- Крупная сумма WETH: бот получил прибыль около 0.0179 WETH, но оставил разрешение на 16 WETH.- Мелкие транзакции выглядели нормально: разрешения (allowances) расходовались в рамках той же транзакции, чтобы снизить подозрения.

В мелких транзакциях после того, как бот выдавал разрешение на использование реальных токенов, дочерний контракт немедленно переводил эти реальные токены, разрешение расходовалось, и всё выглядело совершенно нормально.

В крупных транзакциях дочерний контракт не вызывал transferFrom для перевода реальных токенов, а вместо этого чеканил поддельные токены через сфабрикованные торговые пары. Бот думал, что выполнил обычные подготовительные шаги для обмена (swap), но реальное разрешение на использование токенов (allowance) оставалось сохранённым.

В этом и заключается суть всей атаки: мелкие транзакции нормально расходуют разрешения, крупные транзакции сохраняют разрешения.

Процесс атаки

В качестве примера рассмотрим атакующую транзакцию с USDC:

(1) Злоумышленник вызывает координатор, переводя текущий блок в состояние armed.(2) Злоумышленник вызывает триггер, обновляя состояние нескольких сфабрикованных торговых пар Ring V2.(3) MEV-бот обнаруживает арбитражную возможность и выполняет транзакцию.

Внутренний процесс транзакции MEV-бота выглядел примерно так:

(1) Контракт MEV-бота выдал крупное разрешение на использование USDC (allowance) одному из дочерних контрактов.(2) MEV-бот вызывает функцию wrapTo/wrap дочернего контракта.(3) Поскольку текущее состояние - armed, дочерний контракт не расходует реальные USDC, а вместо этого чеканит поддельные токены для торговой пары. Разрешение на использование USDC остается сохранённым.(4) MEV-бот продолжает вызов функции swap на поддельной торговой паре.(5) Вторая торговая пара отправляет токены MEV-боту.(6) Hub-контракт выплачивает MEV-боту небольшую реальную прибыль в USDC.

Пример approval (разрешения)

Хэш транзакции: 0x0121e07a916c06eea3e7daf11893f3f0b95b9e1684124545ae14c32aee6029bb

Что увидел MEV-бот: успешная арбитражная сделка, принесшая реальную прибыль в USDC. Однако разрешение на использование USDC (allowance) было сохранено дочерним контрактом. Эта схема была повторно выполнена для USDC, USDT, WETH, что в итоге привело к накоплению большого количества разрешений (allowances).

Хэш атакующей транзакции:

0x2be8704f5a59b69e0b71f64aefdb99eb0e8ae9fb3926147c581910d71bcf3e65

Злоумышленник вызывает функцию drain loop контракта-координатора, calldata содержит адреса 66 дочерних контрактов, а также адрес контракта MEV-бота. Если контракт MEV-бота ранее оставил для дочерних контрактов разрешения на использование средств (allowances), то дочерние контракты могут напрямую перевести соответствующие реальные токены злоумышленнику.

Итоговый результат:

- Полностью использованы все крупные разрешения на 20 USDC.- Полностью использованы все крупные разрешения на 16 WETH.- Часть разрешений для USDT всё ещё существует, но баланс USDT уже недостаточен.

Анализ движения средств

После успешной атаки адрес злоумышленника (0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) получил $2.87 млн USDC, $2.04 млн USDT и 1,474 WETH. Затем злоумышленник обменял стейблкоины на ETH и перевёл их на следующие 4 адреса:

- 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (около 1,000 ETH)- 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH)- 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH)- 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH)

Из них 0xe3Da3 уже перевел 1,000 ETH в Tornado Cash, средства на трёх других адресах далее не перемещались. График движения средств представлен ниже:

Заключение

Данная атака демонстрирует высокоточный метод: злоумышленник не атакует код контракта напрямую, а на основе бизнес-логики MEV-бота, конструируя соответствующий арбитражный сценарий, вводит MEV-бота в заблуждение, заставляя его выдавать на первый взгляд безобидные разрешения (allowances), а затем переводит его активы. Для арбитражных ботов и MEV-ботов недостаточно полагаться только на симуляцию прибыли для оценки безопасности маршрута. Особенно когда в арбитражном пути присутствуют незнакомые контракты, поддельные токены или пользовательские обёртки (wrappers), следует проявлять осторожность и, возможно, принудительно проверять изменения в разрешениях (allowances) после транзакции.

Читать оригинал статьи

Трендовые криптовалюты

Связанные с этим вопросы

QЧто такое «атака на основе ловушки (honeypot attack)», и как она была использована против MEV бота Jaredfromsubway.eth?

AАтака на основе ловушки (honeypot attack) — это метод, при котором злоумышленник создаёт привлекательную, но поддельную возможность для жертвы, в данном случае для MEV бота. В этой атаке злоумышленник использовал серию умных контрактов, включая координатор, триггер и поддельные пулы ликвидности, чтобы сконструировать кажущиеся прибыльными арбитражные возможности. Бот, обнаружив эти возможности, предоставлял разрешения (allowances) на крупные суммы токенов (USDC, USDT, WETH) поддельным контрактам. После получения разрешений атакующий смог напрямую вывести средства с адреса бота, что привело к убытку в размере более 7.5 миллионов долларов.

QВ чём заключалась ключевая уловка атаки для получения разрешений (allowances) от MEV бота?

AКлючевая уловка заключалась в различном поведении атакующего контракта для мелких и крупных транзакций. Для мелких арбитражных сделок контракт вёл себя «нормально»: после получения разрешения он немедленно использовал его (transferFrom), чтобы перевести реальные токены, создавая видимость законной операции. Однако для крупных сделок контракт не вызывал transferFor. Вместо этого он создавал («чеканил») поддельные токены внутри сконструированного пула. В результате MEV бот считал, что выполнил сделку и получил небольшую реальную прибыль, но при этом крупное разрешение на использование его реальных токенов оставалось активным и неизрасходованным для поддельного контракта, что позже позволило атакующему украсть средства.

QКакие основные этапы можно выделить в процессе атаки на примере сделки с USDC?

AПроцесс атаки на примере USDC состоял из следующих основных этапов: 1) Атакующий вызывал контракт-координатор, чтобы пометить текущий блок как «вооружённый» (armed). 2) Атакующий вызывал контракт-триггер, чтобы обновить состояние нескольких поддельных пулов ликвидности (Ring V2 pair), создав видимость выгодного арбитражного пути. 3) MEV бот обнаруживал эту возможность и выполнял транзакцию. Внутри транзакции бота происходило: а) предоставление крупного разрешения (approval) на USDC поддельному контракту; б) вызов функции wrap в поддельном контракте, который, увидев состояние «armed», не тратил реальные USDC, а чеканил поддельный токен, оставляя разрешение активным; в) продолжение обмена (swap) через поддельные пулы; г) получение небольшой суммы реальных USDC в качестве «прибыли» от хаба. Таким образом, бот оставался с активным и опасным разрешением.

QКуда были перемещены украденные средства после успешной атаки?

AПосле успешной атаки злоумышленник (адрес 0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0) получил $2.87 млн USDC, $2.04 млн USDT и 1,474 ETH. Затем стабильные монеты (USDC и USDT) были обменены на ETH. Общий объём ETH был распределён по четырём адресам: 0xe3Da36E4bd1a5738fa5D6Ef4F0e4dF40bDeB5f17 (около 1,000 ETH), 0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65 (1,001 ETH), 0xd8C125efCBc99408eC8723E9BBd81d1E8D39D845 (1,001 ETH) и 0x71d4416A7A85e08a5Fe7227Ca3B44Fc639e94e97 (1,423 ETH). Часть средств (1,000 ETH с первого адреса) была отправлена в миксер Tornado Cash. На момент публикации статьи средства на трёх других адресах не были перемещены далее.

QКакой главный вывод и рекомендация для операторов MEV ботов и арбитражных роботов следует из этого инцидента?

AГлавный вывод заключается в том, что для MEV ботов и арбитражных роботов недостаточно полагаться только на симуляцию прибыли при оценке безопасности сделки. Этот инцидент показал, что злоумышленники могут искусно манипулировать состоянием блокчейна, чтобы создать абсолютно реалистичные, но поддельные арбитражные пути. Ключевая рекомендация — проявлять повышенную осторожность при взаимодействии с незнакомыми контрактами, поддельными токенами или кастомными контрактами-обёртками (wrappers). Особенно важно внедрить обязательную проверку изменений в разрешениях (allowances) после каждой транзакции, чтобы немедленно выявлять и отменять неожиданно оставшиеся активные разрешения, которые могут представлять угрозу.

Похожее

CFTC обвиняет управляющего фондом в сокрытии убытков от криптовалют и фьючерсов за фальшивой доходностью для инвесторов

Комиссия по торговле товарными фьючерсами США (CFTC) предъявила обвинения оператору товарного пула из Северной Каролины Тревору Л. Вернону и его компании Argent Capital Management LLC в мошенничестве. Согласно жалобе, поданной в федеральный суд, с марта 2022 года ответчики привлекли более 14,8 миллиона долларов от не менее 60 инвесторов, представляя инвестиционный пул как стабильно прибыльный, в то время как на самом деле понесли многомиллионные убытки от торговли фьючерсами, опционами и криптоактивами. Регулятор утверждает, что для сокрытия убытков и создания видимости прибыли использовались фальшивые отчеты о результатах, а также схема, подобная финансовой пирамиде, когда средства новых инвесторов шли на выплаты предыдущим. Часть средств (около 446 000 долларов) была размещена на криптобиржах, где также привела к убыткам. CFTC требует возмещения ущерба инвесторам, возврата незаконно полученных средств, наложения штрафов и постоянных запретов на торговую и регистрационную деятельность. Обвинения еще не доказаны в суде.

ambcrypto22 мин. назад

CFTC обвиняет управляющего фондом в сокрытии убытков от криптовалют и фьючерсов за фальшивой доходностью для инвесторов

ambcrypto22 мин. назад

Primit официально запускается на Avalanche, запуская первую сезонную торговую стимулирующую программу

Primit официально запускается в сети Avalanche, представляя программу торговых стимулов «Сезон 1». Мероприятие начнется 15 июля и продлится 14 дней с общим призовым фондом в 100 000 долларов США в эквиваленте AVAX. Выбор Avalanche обусловлен почти мгновенной финализацией транзакций и низкими комиссиями, что критически важно для торговли перпетуальными контрактами с минимальной задержкой. Primit развертывает на блокчейне полную инфраструктуру для торговли деривативами. Программа стимулов включает четыре механизма наград: 1. Ежедневные случайные награды для 20 пользователей с объемом торгов от $200. 2. Награды для авторов контента в Twitter с хештегами #Primit #Avalanche. 3. Реферальная программа с фондом $50 000. 4. Рейтинг лидеров по объему торгов с призовым фондом $37 800, где пары с AVAX имеют множитель x1.5. Параллельно Primit вводит постоянную многоуровневую структуру комиссий Maker/Taker, основанную на совокупном объеме торгов, что вместе с низкими комиссиями Avalanche формирует долгосрочное конкурентное преимущество. Период проведения мероприятия: с 15 по 28 июля 2026 года.

TheNewsCrypto56 мин. назад

Primit официально запускается на Avalanche, запуская первую сезонную торговую стимулирующую программу

TheNewsCrypto56 мин. назад

BingX запускает глобальную инициативу для сообщества после гола Энцо Фернандеса на Чемпионате мира

Криптобиржа BingX, глобальным амбассадором которой является футболист Энсо Фернандес, запускает серию кампаний для своего мирового сообщества в честь его исторического гола на Чемпионате мира. Гол Фернандеса не только принёс победу Аргентине, но и стал 3000-м голом в истории турнира. В честь этого события BingX с 8 по 11 июля раздаёт пользователям бесплатные ваучеры. Кроме того, участники, которые проявят активность в официальных соцсетях компании, смогут выиграть один из 20 бонусов в USDT или автограф-джерси Энсо Фернандеса. Отдельные активности предусмотрены для латиноамериканского сообщества. Как отмечает представитель BingX Пабло Монти, подобные моменты объединяют миллионы людей, а мастерство Фернандеса отражает стремление компании к excellence. BingX продолжает укреплять связь между футбольной культурой и миром цифровых активов через свои инициативы. Напомним, BingX — одна из ведущих криптобирж и Web3-AI компаний, обслуживающая более 40 миллионов пользователей. С 2024 года она является главным партнёром футбольного клуба «Челси».

TheNewsCrypto1 ч. назад

BingX запускает глобальную инициативу для сообщества после гола Энцо Фернандеса на Чемпионате мира

TheNewsCrypto1 ч. назад

Кит Bitcoin открыл шорт на $31 млн – Упадет ли BTC снова до $60 тыс.?

Биткоин демонстрирует нисходящую динамику, впервые за десять дней закрывшись на более низких уровнях два дня подряд. На момент публикации BTC торгуется около $62 714. На этом фоне крупный инвестор («кит») открыл высокорисковую короткую позицию с плечом 40x на 493 BTC (на сумму $31 млн), что указывает на сильный пессимизм в отношении ближайших перспектив. Общая активность на рынке деривативов снижается: объемы торгов упали на 29%, а объемы опционов — на 32%, что свидетельствует об осторожности и выжидательной позиции трейдеров. Технический анализ показывает слабость рыночного тренда. Несмотря на некоторое улучшение на индикаторе MACD, он остается в отрицательной зоне, а динамические индикаторы (DMI) также сигнализируют о сохраняющейся медвежьей тенденции. Аналитики считают, что для отмены текущего нисходящего тренда Bitcoin необходимо преодолеть уровень в $64 тыс. В противном случае существует вероятность очередного тестирования отметки $60 тыс.

ambcrypto1 ч. назад

Кит Bitcoin открыл шорт на $31 млн – Упадет ли BTC снова до $60 тыс.?

ambcrypto1 ч. назад

Торговля

Спот

Популярные статьи

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Manyu - это мемтокен на Ethereum, который приносит децентрализованную культурную и развлекательную ценность через вирусное влияние в соцсетях и вовлечённость сообщества.

2.0k просмотров всегоОпубликовано 2025.11.27Обновлено 2025.11.27

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Ordinals/Runes по-прежнему стимулируют доходы от комиссий за блоки и активность разработчиков, рассматриваются как отправная точка «нативной эмиссии активов» в сети.

1.6k просмотров всегоОпубликовано 2026.04.29Обновлено 2026.04.29

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на ETH (ETH) представлены ниже.

活动图片