Три месяца — именно столько потребовалось атакующему, чтобы загнать в ловушку самого прожорливого бота Ethereum. jaredfromsubway.eth, на счету которого 70% всех сэндвич-атак в сети, лишился $7,5 млн — жертву нашли там, где сам привык охотиться: в пулах ликвидности.
Сэндвич-атака — классика DeFi-хищничества: бот видит крупную пользовательскую транзакцию, вставляет свою перед ней и после, зарабатывая на разнице курсов. Этот конкретный бот отточил технику до совершенства. По данным CoinDesk, он однажды поставил $1,14 млн ради заработка буквально в несколько долларов — на свопе самого Виталика Бутерина. Не из жадности в человеческом смысле, а по алгоритму: бот делал то, для чего был написан.
Атакующий не взламывал контракт и не воровал ключи. За несколько недель он развернул 66 фейковых токенов, имитирующих WETH, USDC и USDT, с поддельными пулами ликвидности. Бот воспринял их как рабочие возможности и автоматически подписал апрувалы — разрешения на управление средствами — в пользу контрактов злоумышленника. Дальше оставалось просто нажать кнопку: $7,5 млн ушли за считанные моменты. Часть суммы уже прошла через Tornado Cash.
Ирония очевидна: инструмент, ежегодно вытаскивавший из карманов обычных трейдеров около $60 млн, попался на тот же механизм — жадность к прибыльной сделке без проверки источника. Никакого взлома не потребовалось. Бот сам открыл дверь.
Для MEV-экосистемы этот случай — неудобный прецедент. Автоматизированные боты стали достаточно крупными и предсказуемыми, чтобы сами превратиться в мишень. Тот, кто понимает алгоритм бота лучше, чем тот понимает риск, может превратить хищника в добычу — без единой строки взломанного кода.
