=Найбільший «сендвіч»-бот Ethereum втратив $7,5 мільйона в іронічному злому

=Один із найприбутковіших і найсуперечливіших MEV-ботів в екосистемі Ethereum став жертвою власної гри. Бот під псевдонімом Jaredfromsubway.eth втратив приблизно $7,5 мільйона після хитромудрого експлойту, виявленого компанією з кібербезпеки Blockaid. Зловмисник використав складну схему, змусивши бота схвалити фальшиві торгові маршрути, що дозволило викачатиWraPPED Ether (WETH), USD Coin (USDC) та Tether (USDT) з гаманця оператора.

Іронія ситуації полягає в тому, що Jaredfromsubway.eth сам заробляв мільйони доларів на так званих «сендвіч-атаках» — стратегії максимального видобутку вартості (MEV), яка дозволяє ботам отримувати прибуток за рахунок звичайних користувачів. Бот аналізував мемпул Ethereum, виявляв великі торгові ордери і розміщував власні транзакції до та після них, фактично «вичавлюючи» цінність із середньої транзакції. Тепер сам «хижак» опинився в ролі жертви, демонструючи, що навіть найдосвідченіші учасники крипторинку не захищені від атак.

Jaredfromsubway.eth діяв в екосистемі Ethereum протягом тривалого часу і був одним із найактивніших MEV-ботів. За оцінками аналітиків, бот заробив десятки мільйонів доларів на сендвіч-атаках, що робило його одночасно найприбутковішим і найбільш критикованим учасником ринку. Спільнота DeFi неодноразово звертала увагу на етичну сторону таких практик, оскільки сендвіч-атаки фактично є формою фронтранінгу — маніпуляції, яка в традиційних фінансах вважається незаконною.

За даними Blockaid, атака була ретельно спланованою і використовувала вразливість у системі схвалень смарт-контрактів. Зловмисник створив фальшиві торгові маршрути, які здавалися легітимними для автоматизованої системи бота, і отримав дозвіл на керування токенами. Після отримання схвалень хакер просто переказав кошти на власні адреси. Цей тип атаки демонструє складність забезпечення безпеки в DeFi, де довіра до смарт-контрактів часто не підкріплена достатнім аудитом і моніторингом.

Цей інцидент має важливі наслідки для всієї екосистеми Ethereum і ширше — для DeFi-простору загалом. По-перше, він підкреслює вразливість навіть найскладніших автоматизованих торгових систем. MEV-боти, які здаються технічно досконалими, насправді можуть мати критичні недоліки в системах безпеки. По-друге, випадок привертає увагу до проблеми MEV загалом — практики, яка приносить прибуток операторам ботів, але погіршує досвід звичайних користувачів, збільшуючи їхні витрати та зменшуючи ефективність транзакцій.

Для розробників Ethereum цей випадок — ще один сигнал про необхідність вирішення проблеми MEV на протокольному рівні. Ініціативи на кшталт MEV-Boost і пропозиції щодо включення механізмів захисту від фронтранінгу безпосередньо в протокол набувають ще більшої актуальності. Водночас дискусія про етичність MEV-стратегій стає все гострішою, адже спільнота шукає баланс між вільним ринком і справедливістю для користувачів.

Для інвесторів і користувачів Ethereum цей випадок служить нагадуванням про необхідність обережності. Навіть якщо ви не використовуєте торгових ботів, ваші транзакції можуть ставати об'єктами MEV-атак, що призводить до несприятливого виконання ордерів. Рекомендується використовувати захищені RPC-провайдери, які приховують транзакції від публічного мемпулу, або торгувати через DEX-агрегатори з вбудованим захистом від MEV. Щодо самого Ethereum — незважаючи на інцидент, фундаментальна цінність мережі залишається незмінною, тому рекомендація — утримувати позиції, продовжуючи моніторити розвиток ситуації з MEV та безпекою DeFi-протоколів.