Хакеры обчистили на $15 млн самого жадного бота Ethereum через подложные сделки

Автоматизированный торговый бот JaredFromSubway, один из самых раскрученных в экосистеме Ethereum, потерял около 15 млн долларов в криптоактивах. Атакующий не ломал смарт-контракты и не воровал приватные ключи, а обманул логику самой системы поиска прибыльных сделок и постепенно вывел средства через легитимные функции протокола.

О потере первыми сообщили специалисты компании Blockaid, занимающейся безопасностью блокчейна. Команда JaredFromSubway позже подтвердила инцидент и раскрыла часть подробностей схемы. По данным расследования, злоумышленник готовил операцию заранее, поэтапно прощупывая поведение бота тестовыми транзакциями.

Алгоритм JaredFromSubway работает по простой схеме — он анализирует маршруты обмена активов в сети Ethereum, оценивает потенциальную прибыль и при обнаружении интересной возможности сам формирует транзакции для её исполнения. Злоумышленник подсунул системе фальшивые торговые маршруты, которые выглядели как обычная инфраструктура DeFi.

Для подготовки атаки преступник развернул собственные компоненты:

• поддельные токены, имитирующие ликвидные активы;
• специально сконструированные пулы ликвидности с заранее заданными параметрами;
• вспомогательные смарт-контракты, оформленные под легитимные торговые сервисы;
• маршруты обмена, в которых прибыль выглядела убедительно для алгоритма;
• управляющий контракт, через который позже выводились активы.

Бот «купился» на эту картину и начал выдавать разрешения на распоряжение токенами ERC-20 контрактам, которые на самом деле принадлежали атакующему. При этом первые транзакции проходили чисто — средства не уходили с балансов, а сами разрешения копились незаметно.

Стоит обратить внимание, что классический взлом тут не использовался вовсе. Атакующий эксплуатировал бизнес-логику, а не уязвимости кода, и фактически заставил саму жертву подписать документы на собственные активы.

По данным Blockaid, атакующему удалось собрать разрешения на распоряжение более чем 92 WETH через подконтрольный контракт. Когда нужный объём допусков был накоплен, началась финальная фаза операции — через стандартную функцию transferFrom средства начали уходить из инфраструктуры бота в WETH, USDC и USDT. Использовались только те полномочия, которые сам алгоритм ранее выдал добровольно.

Сам JaredFromSubway давно занимает заметное место в криптовалютном мире. Аббревиатура MEV расшифровывается как Maximal Extractable Value — это семейство автоматизированных систем, зарабатывающих на порядке исполнения транзакций в блокчейне. Проект работает в закрытом режиме, его исходный код никогда не публиковался, а владельцы предпочитают анонимность.

Известность боту принесли сэндвич-атаки. Схема выглядит так:

• система отслеживает крупную сделку обычного пользователя в пуле мемпулов;
• размещает свою покупку непосредственно перед транзакцией жертвы;
• ждёт, пока цена сдвинется из-за чужой сделки;
• продаёт актив сразу после исполнения транзакции пользователя;
• забирает разницу как чистую прибыль.

Подобная механика годами вызывает споры в криптосообществе. Многие трейдеры считают её узаконенным паразитированием на обычных участниках рынка, поскольку конечный пользователь получает заметно худшую цену исполнения, а доходы оседают у операторов ботов вроде JaredFromSubway.

Интересно, что жертвой здесь стал именно тот игрок, который сам годами эксплуатировал особенности обработки транзакций в Ethereum, — теперь на месте проигравшего трейдера оказался он сам.

После обнаружения утечки команда JaredFromSubway вышла на связь с похитителем напрямую. Сначала злоумышленнику предложили 3 млн долларов в обмен на полный возврат украденного и отказ от любых дальнейших действий. Когда ответа не последовало, ставки выросли — предложение подняли до 7,5 млн долларов за возврат хотя бы половины суммы, плюс ещё 1 млн долларов обещали передать криптовалютному сообществу.

По имеющимся сведениям, владельцы бота параллельно ведут переговоры с группой, которую в публикациях называют «хакерами-экологами». Подробности возможной договорённости пока не раскрываются, а судьба похищенных активов остаётся туманной.

Произошедшее обозначает заметный поворот в подходах атакующих к криптовалютной инфраструктуре. Эксплуатация логики автоматизированных систем оказывается выгоднее и тише, чем поиск уязвимостей в коде. Алгоритмы, управляющие миллионами долларов, продолжают принимать решения на основе входных данных, и если эти данные подделаны убедительно — никакой аудит смарт-контрактов не спасёт.

Случай показателен ещё и тем, что от подобных схем не застрахованы даже самые продвинутые игроки рынка. Команды, годами зарабатывавшие на тонкостях работы блокчейна, оказались уязвимы перед той же логикой, которую сами эксплуатируют против рядовых трейдеров. Автоматизация финансовых операций превращается в палку о двух концах для всего криптосегмента.

Ранее сообщалось, что аналитики Unfolded со ссылкой на данные DefiLlama зафиксировали рекордное количество успешных атак на криптовалютные проекты. За период с апреля по июнь 2026 года злоумышленники провели 83 результативных взлома криптопротоколов, что стало самым высоким показателем за всю историю наблюдений. Совокупный ущерб за квартал достиг 755,3 млн долларов. Несмотря на рекорд по числу инцидентов, сумма потерь оказалась значительно ниже антирекорда четвёртого квартала 2020 года, когда убытки рынка составили 3,56 млрд долларов.

Эксперты редакции CISOCLUB заявили, что инцидент с JaredFromSubway знаменует переход MEV-сегмента в новую фазу зрелости угроз. Атаки на бизнес-логику автоматизированных систем будут только множиться, поскольку они дают результат без необходимости ломать криптографию или искать ошибки в коде. Операторы крупных ботов оказались в положении, когда их собственная скорость и жадность алгоритма работают против них.

Редакция полагает, что в ближайшие месяцы появятся специализированные сервисы, имитирующие фальшивые торговые возможности именно для ловли MEV-ботов. Криптосообщество вряд ли будет горячо сочувствовать пострадавшим, учитывая репутацию JaredFromSubway, а сам рынок MEV получит мощный сигнал к пересмотру подходов к доверию входным данным.