Jaredfromsubway.eth MEV-бот был разорён на 7,5 миллиона долларов в ходе контратаки

По данным Blockaid, Jaredfromsubway.eth, один из самых успешных MEV-ботов в криптосфере, недавно был обналичен на сумму более 7,5 млн долларов после того, как злоумышленник воспользовался автоматизированной логикой исполнения бота. Злоумышленник развернул 66 фейковых контрактов токенов, имитирующих Wrapped ETH, USDC и USDT, и сопроводил их фейковыми пулами ликвидности, созданными так, чтобы выглядеть как прибыльные торговые возможности. Когда бот взаимодействовал с этими контрактами, он выдавал одобрения helper-контрактам, контролируемым злоумышленником, предоставляя тому доступ к его казне.

CTO Blockaid Раз Нив охарактеризовал инцидент как атаку honeypot “в ответ на MEV”, нацеленную на логику принятия решений с минимизацией доверия, на которой основаны MEV-боты. Затем злоумышленник выполнил одну транзакцию, вызвав все 66 бэкдора, чтобы списать ETH, USDC и USDT с затронутых адресов. Часть похищенных средств позже была отправлена в Tornado Cash — крипто-сервис миксинга. Эксплойт показывает, что высокоприбыльная автоматизация, созданная для использования рыночных неэффективностей, сама может стать уязвимой, когда атакующие понимают поведенческие паттерны бота и механизмы выдачи одобрений.