Самый крутой MEV-бот потерял $7.5 млн: Approval — самый недооценённый смертельный риск в ончейне?

marsbitОпубликовано 2026-06-24Обновлено 2026-06-24

Введение

Взлом MEV-бота Jaredfromsubway.eth на сумму 7,5 млн долларов вновь подчеркивает, что «Approve» (разрешение) в ERC-20 остается одной из самых недооцененных и опасных рисков в DeFi. Атакующие не взламывали приватные ключи или контракты, а создали среду с поддельными токенами и пулами ликвидности, имитирующую арбитражные возможности. Это заставило автоматизированный бот выдавать разрешения на управление активами. В итоге злоумышленники «легально» вывели средства. Этот случай демонстрирует общую проблему: пользователи и автоматизированные системы часто воспринимают Approve лишь как технический шаг для транзакции, не осознавая его долгосрочных последствий. Разрешение не исчезает после отключения кошелька от dApp, а бесконечные разрешения дают контрактам неограниченный доступ к будущим поступлениям средств. Как управлять рисками: 1. Принцип минимальных привилегий: устанавливайте лимит, близкий к сумме сделки, а не бесконечный. 2. Разделяйте кошельки: для хранения и для активного взаимодействия с dApp. 3. Регулярно проверяйте и отменяйте ненужные разрешения через такие инструменты, как Revoke.cash или функцию «Управление разрешениями» в imToken. Безопасность в Web3 зависит не только от защиты приватного ключа, но и от активного управления разрешениями. Кошельки, в свою очередь, должны улучшать читаемость подписываемых данных и предупреждать пользователей о подозрительных контрактах, стремясь к стандарту «What You See Is What You Sign» (WYSIWYS).

Автор: imToken

Бот MEV, который долгое время охотился на обычных трейдеров в Ethereum, в итоге сам попал в ловушку стоимостью 7,5 млн долларов.

21 июня атаковали известного сэндвич-арбитражного бота на Ethereum Jaredfromsubway.eth, с адреса которого были выведены активы WETH, USDC и другие. По предварительным оценкам, убытки превысили 7,5 млн долларов (хотя публично озвученные цифры потерь все еще разнятся).

Что интересно, эта атака не была связана с утечкой приватного ключа и не использовала традиционные уязвимости смарт-контрактов. Вместо этого,атакующий заранее развернул множество поддельных токенов, пулов ликвидности и вспомогательных контрактов, оформив их как потенциально прибыльный торговый путь, и заставил бота в процессе автоматического исполнения выдать контракту-злоумышленнику Approval на стандарт ERC-20. В итоге средства MEV-бота были «законно» выведены.

На момент публикации Jaredfromsubway.eth через ончейн-сообщение уже публично обратился к атакующему, заявив, что «в случае возврата 2150 ETH в течение 48 часов готов заплатить 50% в качестве награды white-hat хакеру, в противном случае будут предприняты все возможные правовые и правоохранительные меры».

Однако тот факт, что даже высокопрофессиональный бот MEV, управляемый кодом, попался на Approval, заставляет нас задуматься: насколько опасным на самом деле является это действие «Approval», которое мы используем каждый день?

1. Специально спроектированная охота на MEV-бота

Если внимательно проанализировать эту атаку, становится ясно, что это не случайно сработавшая уязвимость, а долгосрочная охота, построенная на логике работы Jaredfromsubway.eth.

Jaredfromsubway.eth всегда был одним из самых известных сэндвич-арбитражных ботов в Ethereum. Проще говоря, при сэндвич-атаке бот, обнаружив предстоящую транзакцию в блокчейне, покупает актив до пользователя, вызывая рост цены; после того, как пользователь совершает сделку по худшей цене, бот сразу же продает, зарабатывая на разнице.

Именно поэтому данная стратегия требует от бота постоянного сканирования ончейн-транзакций, сверхбыстрой оценки арбитражных возможностей и построения торговых путей с вызовом различных токенов и контрактов. Это также означает, что чем выше скорость и чем больше активов и протоколов покрыто, тем больше возможностей может захватить бот.

Но именно это и стало точкой прорыва в данном случае.

Согласно постфактум анализу, атакующий не атаковал напрямую контракт с фондами бота, а потратил несколько недель на создание среды, которая выглядела бы прибыльной для торговли:

  • Первый шаг — развертывание множества поддельных токенов и пулов ликвидности. Эти токены по названию, интерфейсу и поведению при торговле имитировали WETH, USDC, USDT и другие распространенные активы, заставляя автоматическую систему распознавания бота ошибочно думать, что она нашла нормальный торговый путь.
  • Второй шаг — постепенное завоевание доверия бота. В ранних тестах выданные ботом авторизации (approvals) нормально расходовались по мере совершения транзакций. Когда система бота начала повторно исполнять аналогичные пути, атакующий изменил логику контракта, так что часть выдаваемых ботом авторизаций перестала фактически расходоваться и не обнулялась после завершения транзакции. В результате эти авторизации остались активными.
  • Наконец, атакующий сконцентрированно использовал все еще действующие лимиты авторизаций и вывел настоящие WETH, USDC и USDT из контракта бота.

Проще говоря, вся атака была полностью нацелена на особенности работы MEV-бота: сначала создать среду, соответствующую его правилам оценки прибыльности, а затем использовать его механизм автоматического исполнения торговых путей, заставив систему добровольно отдать право управления активами.

Это также объясняет, почему даже высокопрофессиональный MEV-бот попался.

Он умеет рассчитывать спреды, стоимость газа и порядок транзакций, но не обязательно проводит достаточную проверку личности каждого нового контракта. С этой точки зрения,проблема обычного пользователя в том, что он «нажимает подтверждение, не поняв», а проблема автоматизированного бота — в том, что он «автоматически исполняет, не подтверждая».

На первый взгляд, они совершенно разные, но лежащий в основе риск схож: оба воспринимают выдачу авторизации как обычный шаг перед совершением сделки, не осознавая в полной мере, насколько высок скрытый в ней риск.

2. Почему Approval всегда недооценивают?

Как известно, в стандарте ERC-20 Ethereum и совместимых с EVM блокчейнах Approve (авторизация) — это довольно базовый механизм.

Однако, когда пользователи переводят средства напрямую из кошелька, они обычно используют transfer, и Approve обычно не требуется. Авторизация возникает только в сценариях работы со смарт-контрактами, таких как DEX, кредитование, стейкинг или добавление ликвидности, когда пользователю нужно разрешить смарт-контракту управлять его токенами.

Например, когда мы хотим обменять USDT на ETH на Uniswap, смарт-контракт Uniswap не может просто забрать USDT из вашего кошелька. Сначала необходимо выполнить Approve, чтобы сказать системе: «Я разрешаю Uniswap списать X USDT с моего кошелька».

Только после завершения авторизации получивший разрешение контракт сможет через transferFrom использовать USDT пользователя в пределах установленного лимита, и последующий обмен (Swap) сможет завершиться успешно.

Другими словами, сам Approval — это не уязвимость, а важная основа для нормальной работы DeFi. Однако проблема в том, что он немного похож на разрешение на автоматическое списание в Alipay/WeChat:

Пользователь не передает продавцу пароль от учетной записи, но разрешает продавцу в оговоренных пределах активно списывать средства. Пока авторизация действительна, для последующих списаний пользователю не нужно снова вводить пароль или подтверждать каждую операцию. Это создает естественные проблемы.

Во-первых, проблема неограниченной авторизации (Infinite Approval): люди часто превращают разрешение на одну транзакцию в долгосрочное право. В основном для сокращения операционных издержек и стоимости газа, связанных с повторными авторизациями, многие DApp по умолчанию запрашивают очень большой лимит авторизации, так называемый «неограниченный Approval».

Пользователь, возможно, изначально хотел использовать всего 100 USDC для одной сделки, но разрешил контракту использовать в будущем все USDC на своем адресе. Если эта авторизация не будет отозвана, даже если в кошельке пользователя в тот момент было мало средств, вновь зачисленные в будущем USDC также могут быть затронуты.

Во-вторых, авторизация по умолчанию не исчезает после ухода с DApp. Многие пользователи путают «отключение кошелька» и «отзыв авторизации». На самом деле, отключение кошелька лишь временно лишает веб-страницу возможности читать или запрашивать текущий кошелек, но не изменяет Approval, уже записанный в блокчейн.

Закрытие страницы, удаление DApp, очистка кеша браузера или даже смена приложения кошелька не приведут к его автоматической отмене.

Наконец, даже нормальный контракт в будущем может стать опасным. Потому что многие риски, связанные с авторизациями, исходят не только изначально от фишинговых сайтов. Как и в этой охоте, пользователь мог выдать разрешение изначально нормальному протоколу, но впоследствии контракт протокола мог быть взломан, приватный ключ администратора скомпрометирован, обновляемая логика заменена или возникли проблемы с вызываемым маршрутизирующим контрактом.

Для пользователя активы все еще остаются на его адресе, но с точки зрения прав у другого контракта остается возможность использовать эти активы. Поэтому риск Approval заключается не только в «выдал ли я разрешение плохому парню», но и в «не возникнут ли проблемы в будущем у того, кому я выдал разрешение».

3. Как же управлять рисками Approval?

Перед лицом рисков Approval самый простой совет — «не выдавать неограниченную авторизацию».

Но в реальной среде использования DeFi полностью отказываться от авторизаций нереально. Как упоминалось выше, сама авторизация не является уязвимостью — это базовый способ вызова активов ончейн-приложениями.

Что действительно нужно изменить, так это превратить Approval из разового действия подтверждения в систему постоянного управления правами.

Для обычного пользователя в первую очередь необходимо выработать несколько основных привычек:

  • Во-первых, соблюдать принцип «минимальных привилегий». Когда кошелек выдает запрос на авторизацию, старайтесь устанавливать лимит, исходя из фактических потребностей текущего взаимодействия. Например, если планируется использовать только 100 USDT, по возможности выдавайте авторизацию, близкую к 100 USDT, а не открывайте неограниченное разрешение.
  • Во-вторых, разделять кошельки для хранения и для взаимодействия. Адрес, на котором долгосрочно хранятся крупные суммы, по возможности не следует часто подключать к незнакомым DApp. Для участия в аирдропах, минтах, новых проектах и рискованных взаимодействиях с DeFi можно использовать отдельный адрес, чтобы ограничить потенциальные потери малым диапазоном.
  • В-третьих, регулярно проверять и отзывать авторизации, которые больше не нужны. Пользователи могут использовать такие инструменты, как Revoke.cash, или в imToken перейти на страницу соответствующего токена, нажать «Token Function» в левом нижнем углу, выбрать «Управление авторизациями» (Authorization Management), просмотреть объекты авторизаций, токены и лимиты для этого адреса и инициировать отзыв разрешений, которые больше не используются или чье происхождение неизвестно (дополнительное чтение: «Пошаговое руководство по управлению авторизациями с помощью Revoke.cash»).

Конечно, как ни крути, перед лицом всепроникающих атак через авторизации, полагаться только на осведомленность пользователей и их регулярные проверки недостаточно. В конце концов, большинству пользователей сложно определить, кому принадлежит строка адреса контракта, и оценить, является ли данный лимит авторизации разумным.

Поэтому, как первый рубеж защиты пользователей при входе в Web3, кошелек должен обеспечивать активную защиту на уровне своих возможностей.

Например, imToken помечает или блокирует выявленные рискованные токены, адреса и DApp.Когда пользователь выдает разрешение на управление токенами обычному внешнему аккаунту (EOA) или переводит средства напрямую на адрес контракта, также предоставляются целенаправленные предупреждения о рисках. Эти предупреждения не могут заменить суждение пользователя, но по крайней мере могут добавить необходимый буфер безопасности перед фактической подписью.

Кроме того, imToken на ключевых этапах, таких как вход в DApp, перевод средств, обмен токенов и авторизация, выполняет структурированный анализ и удобочитаемое представление подписываемого контента, помогая пользователю по возможности понять, на что он соглашается, прежде чем подтвердить.Это гарантирует, что содержимое, которое подписывает пользователь, должно соответствовать действиям, которые он видит, а не быть сжатым в набор нечитаемых хэш-данных.

С дальнейшим развитием стандартов Clear Signing, таких как ERC-7730, это удобочитаемое представление «что видишь, то и подписываешь» (What You See Is What You Sign) также имеет шанс превратиться из возможности отдельного кошелька в общий отраслевой стандарт, разделяемый между кошельками, DApp и смарт-контрактами.

В целом, приватный ключ определяет, кто владеет аккаунтом, а Approval определяет, кто еще может управлять активами на этом аккаунте. Это не одно и то же, но одинаково важно.

Это также означает, чтобезопасность кошелька не может ограничиваться только вопросом «не скомпрометирован ли приватный ключ», и это требует совместных усилий как пользователей, так и кошельков: пользователям необходимо видеть объект и лимит перед выдачей авторизации, а после взаимодействия своевременно очищать ненужные разрешения; кошелькам же необходимо сделать эти изначально скрытые в контрактах права более видимыми, понятными, а также более удобными для ограничения и отзыва.

В конце концов, реальную опасность представляет не обязательно только что совершенный перевод, но и давно забытая, но все еще действующая авторизация.

Трендовые криптовалюты

Связанные с этим вопросы

QЧто такое Approval в контексте блокчейна Ethereum и почему оно может быть опасно?

AApproval (разрешение) — это функция стандарта ERC-20, позволяющая одному смарт-контракту управлять определённым количеством токенов на вашем адресе. Это необходимо для работы DEX, кредитных протоколов и других DeFi-приложений. Опасность возникает, когда пользователь предоставляет неограниченное или чрезмерное разрешение (unlimited approval) или разрешает доступ ненадёжным контрактам. В таком случае, даже если злоумышленники не имеют вашего приватного ключа, они могут легитимно вывести средства в рамках выданного разрешения, как произошло в случае с MEV-ботом Jaredfromsubway.eth.

QКак атакующие смогли украсть средства у MEV-бота Jaredfromsubway.eth?

AАтака была тщательно спланированной «обратной охотой». Злоумышленники на протяжении нескольких недель создавали поддельные токены и пулы ликвидности, имитирующие популярные активы (WETH, USDC). Они спроектировали торговые пути, которые выглядели прибыльными для алгоритма бота. Когда автоматизированная система бота, стремясь к арбитражу, взаимодействовала с этими поддельными контрактами, она предоставляла им разрешение (Approval) на управление своими реальными активами. После накопления достаточных разрешений злоумышленники вызвали функцию `transferFrom` и вывели средства бота на свои адреса.

QКакие основные ошибки пользователей приводят к рискам, связанным с Approval?

AОсновные ошибки пользователей: 1) Предоставление неограниченного разрешения (unlimited approval), когда для разовой операции выдают право на управление всеми токенами на адресе. 2) Смешение понятий «отключить кошелёк от DApp» и «отозвать разрешение». Отключение не отменяет выданные ранее права. 3) Отсутствие привычки регулярно проверять и отзывать ненужные или старые разрешения, выданные когда-то для взаимодействия с DApp. 4) Использование одного и того же адреса и для хранения крупных сумм, и для рискованных взаимодействий с новыми или непроверенными проектами.

QКакие практические меры может предпринять обычный пользователь для управления рисками Approval?

A1) Принцип минимальных привилегий: при подключении к DApp выдавайте разрешение только на ту сумму, которая необходима для текущей операции. 2) Разделение кошельков: используйте отдельный адрес с небольшим балансом для тестирования новых DApp, NFT-минтов и рискованных операций. 3) Регулярная ревизия: с помощью таких сервисов, как Revoke.cash, или функций управления разрешениями в самом кошельке (например, в imToken) периодически проверяйте список выданных разрешений и отзывайте ненужные. 4) Внимание к предупреждениям: обращайте внимание на предупреждения кошелька о подозрительных контрактах или запросах на разрешение для внешних адресов (EOA).

QКакую роль играют кошельки (wallets) в снижении рисков, связанных с Approval?

AСовременные кошельки играют ключевую роль в защите, выходя за рамки простого хранения ключей. Они: 1) Внедряют защитные механизмы: например, imToken помечает известные опасные адреса и контракты, а также предупреждает при попытке выдать разрешение внешнему адресу. 2) Обеспечивают понятное отображение транзакций (Clear Signing): структурируют и переводят в читаемый вид данные, подлежащие подписанию, чтобы пользователь понимал, на что именно он даёт согласие, а не подписывал «слепую» хеш-строку. 3) Предоставляют встроенные инструменты для управления разрешениями, упрощая их проверку и отзыв. В перспективе, благодаря таким стандартам, как ERC-7730, эта практика должна стать отраслевой нормой для безопасного взаимодействия пользователей с блокчейном.

Похожее

Взлом Bonzo Lend на $9 млн – Почему безопасные смарт-контракты не смогли его предотвратить

Протокол кредитования Bonzo Lend в сети Hedera (HBAR) понес убытки в размере $9,05 млн из-за эксплуатации уязвимости оракула. Атакующий манипулировал ценовыми данными SAUCE через уязвимость в проверке подписей поставщика оракулов Supra, что позволило взять кредиты, значительно превышающие стоимость залога. При этом смарт-контракты самого протокола и сеть Hedera не были скомпрометированы — уязвимость оказалась во внешней инфраструктуре оракулов. Аудит показал, что код протокола работал точно так, как был запрограммирован, но полагался на некорректные данные из доверенного внешнего источника. Этот инцидент высветил ключевую проблему DeFi: безупречное выполнение кода не защищает от эксплуатации самой логики протокола, если оракулы поставляют манипулируемые данные. В результате атаки рыночные показатели HBAR и общий объем заблокированных средств (TVL) в DeFi Hedera значительно снизились. Инцидент подчеркивает растущую важность создания отказоустойчивых и безопасных систем оракулов. Для защиты протоколов DeFi необходимы более строгие стандарты верификации внешних данных, экономическое моделирование и формальная верификация, выходящие за рамки традиционных аудитов смарт-контрактов.

ambcrypto21 мин. назад

Взлом Bonzo Lend на $9 млн – Почему безопасные смарт-контракты не смогли его предотвратить

ambcrypto21 мин. назад

Ethereum против Bitcoin: Является ли рост ETH на 5% в третьем квартале началом структурного перетока капитала?

Эфириум демонстрирует рост относительно Биткойна в третьем квартале, подкрепленный притоком средств в ETF Эфириума, который в этом месяце превысил $128 миллионов, опередив Биткойн. Ключевым фактором может стать запуск Robinhood Chain, Layer 2 решения, которое использует ETH в качестве газового токена и увеличивает активность в основной сети. Объем ETH, переведенный в эту экосистему, вырос почти в 10 раз за неделю, превысив $100 миллионов. Однако исторически Эфириуму сложно сохранять преимущество над Биткойном. Технический анализ показывает, что прошлый значительный квартальный рост пары ETH/BTC в 2025 году был временным. В июле доминирование Биткойна снова приближается к ключевому уровню сопротивления в 60%, что указывает на возможный обратный отток капитала. Таким образом, текущий рост на 5% может быть недостаточным для подтверждения устойчивой ротации. Вопрос заключается в том, являются ли эти улучшения фундаментальных показателей началом структурного сдвига капитала в сторону Эфириума или это очередная краткосрочная динамика.

ambcrypto2 ч. назад

Ethereum против Bitcoin: Является ли рост ETH на 5% в третьем квартале началом структурного перетока капитала?

ambcrypto2 ч. назад

Яблоко подает в суд на OpenAI, разгорается словесная война: Маск обвиняет Алтмана в мошенничестве, Алтман высмеивает его «космические дата-центры»

Эскалация конфликта между Илоном Маском и Сэмом Альтманом разворачивается на фоне выпуска их компаниями новых флагманских ИИ-моделей — GPT-5.6 от OpenAI и Grok 4.5 от SpaceXAI. Маск обвинил Альтмана в мошенничестве в отношении пользователей OpenAI. Альтман ответил, высмеяв проект Маска по созданию «космических центров обработки данных». Маск также заявил, что Альтман «украл благотворительный проект с открытым исходным кодом» и технологии Apple, на что ссылается иск Apple против OpenAI. Apple обвиняет OpenAI в краже коммерческой тайны для разработки собственного оборудования. Одновременно две компании представили конкурирующие модели-агенты: GPT-5.6 выделяется в сфере аналитики и кибербезопасности, а Grok 4.5 — в автономном программировании и имеет более низкую стоимость. Суд Apple может серьезно повлиять на партнерство двух технологических гигантов.

marsbit2 ч. назад

Яблоко подает в суд на OpenAI, разгорается словесная война: Маск обвиняет Алтмана в мошенничестве, Алтман высмеивает его «космические дата-центры»

marsbit2 ч. назад

Успех Robinhood Chain доказывает, что Ethereum не умер

Успех Robinhood Chain демонстрирует, что модель Ethereum L1+L2 становится предпочтительной инфраструктурой для реального бизнеса, а не для продажи токенов. В отличие от прошлой эпохи, когда проекты создавали блокчейны для монетизации собственных токенов, теперь компании, ориентированные на денежные потоки (как Robinhood), выбирают Ethereum в качестве базового слоя для надежности и ликвидности, а свои L2 (например, на базе Arbitrum) — для контроля, кастомизации и высокой производительности. Это рациональное бизнес-решение, позволяющее избежать затрат на создание независимого L1. Такие компании, как Coinbase с Base, следуют той же логике. Сдвиг в сторону реальной экономики на блокчейне укрепляет позиции Ethereum и его нативной валюты ETH, которая становится стандартом для газовых сборов и основой сетевых эффектов.

Odaily星球日报2 ч. назад

Успех Robinhood Chain доказывает, что Ethereum не умер

Odaily星球日报2 ч. назад

Tencent делает крупную ставку на IPO

Компания Tencent стала крупнейшим акционером стартапа Cloud Leopard Intelligence, который подал заявку на IPO на ростке в Шэньчжэне, стремясь стать «первой в Китае акцией DPU». Основанная в 2020 году доктором Стэнфорда Сяо Цияном, компания специализируется на разработке чипов DPU (процессоров для обработки данных). Несмотря на стремительный рост выручки (до 3,7 млрд юаней в 2025 году), компания остается убыточной. На ее пути от стартапа до единорога с оценкой свыше 14 млрд юаней стоял длинный список инвесторов, включая Sequoia China, Shenzhen Capital Group и другие известные фонды, при этом Tencent неоднократно увеличивал свою долю. Выход на IPO Cloud Leopard Intelligence и успешное прохождение листинга компанией Yuexin Semiconductor знаменуют формирование кадрового резерва для капитализации полупроводниковой отрасли в Большом заливе, что также свидетельствует об открытости рынка капитала Китая для высокотехнологичных компаний с твердыми перспективами роста.

marsbit3 ч. назад

Tencent делает крупную ставку на IPO

marsbit3 ч. назад

Торговля

Спот

Популярные статьи

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Manyu - это мемтокен на Ethereum, который приносит децентрализованную культурную и развлекательную ценность через вирусное влияние в соцсетях и вовлечённость сообщества.

2.0k просмотров всегоОпубликовано 2025.11.27Обновлено 2025.11.27

Manyu: восходящая мем-звезда на Ethereum, готовая открыть новую эру культуры Shiba

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Ordinals/Runes по-прежнему стимулируют доходы от комиссий за блоки и активность разработчиков, рассматриваются как отправная точка «нативной эмиссии активов» в сети.

1.6k просмотров всегоОпубликовано 2026.04.29Обновлено 2026.04.29

Неделя обучения по популярным токенам 14: Glamsterdam — самое ожидаемое обновление Ethereum в 2026 году

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на ETH (ETH) представлены ниже.

活动图片