Бот вёл sandwich-операцию промышленного масштаба и, по оценкам, стоял за около 70% всех сэндвич-атак в сети с конца 2024 по конец 2025 года. В мае он даже зацепил Виталика Бутерина, выжав пару долларов из рядового обмена токенов с помощью более миллиона долларов фронтраннинг-объёма. Бот был беспощаден, прибылен и заслуженно ненавидим.
В минувшие выходные он потерял состояние именно на том приёме, который годами применял против всех остальных.
Что произошло
В субботу компания Blockaid сообщила, что Jaredfromsubway.eth был выведен в ноль. Атакующий не тронул ни строчки кода бота и не скомпрометировал ни один приватный ключ. Вместо этого он несколько недель методично строил ловушку: 66 фейковых токен-контрактов, замаскированных под WETH, USDC и USDT, каждый в паре с фиктивным пулом ликвидности, выглядящим точно так, как маршруты, которые бот привык искать.
Автоматический движок принятия решений бота сделал именно то, для чего был создан. Он просканировал цепь, увидел то, что выглядело прибыльной возможностью, и выдал апрувы на расход средств вспомогательным контрактам, которые контролировал атакующий - тот же механический шаг, который бот совершает тысячи раз в день против обычных трейдеров. Когда апрувов по всем 66 фейковым контрактам накопилось достаточно, атакующий выполнил единую sweep-транзакцию, вызвавшую их все одновременно, и вывел реальные WETH, USDC и USDT.
По оценке Blockaid, потери составили около $7,5 млн. Оператор бота заявляет о цифре, близкой к $15 млн. Часть средств уже прошла через Tornado Cash. Оператор ответил публичным он-чейн сообщением, предложив баунти - по данным источников, выросшее с первоначальных $3 млн до половины украденной суммы - в обмен на возврат средств, сопроводив это угрозой применить «все доступные правовые и правоприменительные меры», если атакующий откажется.
##
Если на секунду отбросить иронию ситуации и посмотреть на механику, перед нами один из первых широко документированных случаев того, что технический директор Blockaid назвал «counter-MEV honeypot» - атакой, которая не целится в код протокола, не целится в приватный ключ человека и не использует фишинг. Она целится в логику принятия решений автономной системы. Контракты сработали именно так, как были написаны. Бот вёл себя именно так, как был спроектирован. Эксплойт целиком жил в зазоре между «это выглядит хорошей сделкой» и «это действительно хорошая сделка».
Это различие важнее заголовочной суммы потерь. MEV-боты давно не единственные автономные системы с капиталом на балансе, принимающие решения об апрувах он-чейн. Боты управления казной, арбитражные системы и быстро растущая волна AI-агентов для трейдинга - все они устроены по одному и тому же принципу: программно оценивают возможности и выдают разрешения, основываясь на том, что подсказывают видимые данные. Ни один из этих данных не заслуживает доверия по умолчанию - это просто то, что противник решил выложить он-чейн.
Более широкая картина
У этого конкретного бота есть веская причина быть таким удачным тест-кейсом. Вся бизнес-модель Jared строится на скорости и агрессии - сканировать мемпул быстрее всех, исполнять маршруты в момент, когда они выглядят прибыльными, оптимизироваться на пропускную способность, а не на осторожность. Это в точности тот профиль системы, под который заточена подобная атака. Более медленный, консервативный бот, требующий глубокой истории ликвидности или возраста пула перед тем, как доверять маршруту, был бы гораздо более сложной целью. Атакующему не нужно было что-то ломать. Ему нужно было понять, на какую наживку голоден этот конкретный бот, а затем терпеливо строить её больше трёх недель.
Это также взгляд в будущее того, как будет выглядеть противостояние, когда значительная доля он-чейн активности окажется полностью автоматизированной. Сегодня это MEV-боты, сэндвичащие обмены мемкоинов. Завтра - AI-агенты, исполняющие ребалансировку казны, доходные стратегии или кросс-чейн расчёты с гораздо большими суммами на кону и ещё меньшим человеческим контролем в цепочке. Атакующему, способному убедительно сымитировать «это выглядит прибыльным», не нужно искать баг. Ему нужно понять, на что голодна цель.
Доминирующая реакция в сети - чистое злорадство: «бот, который всех грабил, сам был ограблен», космическая справедливость по отношению к системе, выкачавшей десятки миллионов из обычных трейдеров с 2023 года. Реакция понятна, но она хоронит под собой более полезный урок.
Юридическая рамка здесь также интереснее, чем кажется на первый взгляд. Сами сэндвич-атаки находятся в подлинной правовой серой зоне - они используют публично видимые данные мемпула, и ни один суд однозначно не классифицировал это как мошенничество. Именно эта неопределённость годами позволяла Jared работать открыто без серьёзных правовых рисков. Этот эксплойт другой. Развёртывание фейковых контрактов, специально спроектированных, чтобы обмануть автоматического контрагента и заставить его выдать апрувы, которые он осознанно никогда бы не дал, гораздо ближе к классическому мошенничеству, чем что-либо, что делал сам Jared. В этом есть странная асимметрия: серийный экстрактор средств у розничных трейдеров теперь сам выступает в роли потерпевшей стороны, требующей правовой защиты - и то, как суды или правоохранительные органы отнесутся к этому требованию, если оно когда-нибудь будет проверено на практике, может задать прецедент для трактовки «автоматизированного согласия» в будущих он-чейн спорах.
Стоит также обратить внимание на расхождение в оценках потерь. Форензик-оценка Blockaid он-чейн и публичное заявление оператора отличаются примерно вдвое. Этот разрыв сам по себе информативен: он указывает либо на недокументированные потери, которые оператор пока не подтвердил, либо на тактику переговоров о баунти, при которой раздувание заголовочной суммы создаёт дополнительное давление на атакующего. Обе цифры стоит считать предварительными до независимой он-чейн реконсиляции.
В моменте выгоду получает атакующий - если ему удастся сохранить значимую долю средств, а маршрутизация через Tornado Cash говорит о том, что он играет именно на этот исход, а не на добросовестные переговоры. Компании безопасности вроде Blockaid получают флагманский кейс, который, вероятно, будет определять, как описываются и детектируются «агентные» эксплойты в будущем. Разработчики во всём MEV-стеке получают конкретный и дорогой урок о том, почему постоянные апрувы автоматизированным системам нуждаются в жёстких лимитах независимо от того, насколько «умным» кажется движок принятия решений.
Есть и непрямой выгодоприобретатель - обычные трейдеры. Каждый доллар, застрявший в этом инциденте, каждый час, который оператор тратит на переговоры о баунти вместо запуска новых sandwich-маршрутов - это экстракция, которая не произошла за счёт чьего-то обмена. Небольшая, временная, почти случайная форма передышки для той самой аудитории, которую этот бот годами облагал невидимым налогом.
Что может пойти не так
Оптимистичный сценарий - этот инцидент подталкивает MEV-операторов и автоматизированные DeFi-системы в целом к более строгой гигиене апрувов: ограниченные по времени разрешения, проверка возраста контракта и глубины ликвидности перед доверием маршруту, сэндбоксинг новых пулов перед вложением реального капитала. Это реальная возможность, и некоторые разработчики уже формулируют выводы именно так.
Пессимистичный сценарий - это становится не разовым случаем, а готовым плейбуком. Вектор атаки портативен. Он не требует взлома кода конкретного бота - он требует понимания того, на что голодна логика автоматизации цели, и достаточного терпения, чтобы построить убедительную наживку. Любая автоматизированная система - MEV-бот, арбитражный движок или AI-трейдинговый агент, - выдающая разрешения на основе видимой возможности, а не проверенного происхождения, теоретически подвержена тому же приёму. Если counter-MEV honeypots окажутся воспроизводимым методом, в ближайшие недели стоит ожидать копи-кэт-атак на другие крупные боты, а компании безопасности начнут продавать «аудит логики апрувов» как отдельный продукт.
Есть и немалая вероятность, что переговоры о баунти ничем не закончатся. Как только средства прошли через Tornado Cash, возврат становится вопросом ожидания ошибки атакующего - как правило, попытки вывести средства через централизованную биржу, где KYC может со временем связать кошелёк с личностью. Это может занять месяцы, а может не произойти вовсе.
Три сигнала покажут, как разрешится эта история. Первый - приведут ли переговоры о баунти к частичному возврату средств, что говорило бы о том, что атакующий страхуется против риска будущей деанонимизации. Второй - будут ли в ближайшие недели похожие honeypot-атаки против других крупных MEV-операторов: это подтвердило бы, что техника воспроизводима, а не была направлена конкретно против Jared. Третий - всплывут ли отмытые средства на централизованной бирже, что исторически остаётся самой частой точкой, где анонимные атакующие оказываются раскрыты.
Заключение
Jaredfromsubway.eth годами относился к мемпулу Ethereum как к охотничьим угодьям, извлекая ценность из каждого, чья сделка выглядела уязвимой. В эти выходные кто-то поступил с самим ботом точно так же - изучил его аппетит, выстроил наживку, достаточно терпеливую, чтобы под него подойти, и ушёл с миллионами. Поэтическая справедливость здесь реальна, но не в этом суть. Суть в том, что автоматизированная система, заточенная исключительно на вопрос «выглядит ли это прибыльным», не имеет защиты от противника, готового потратить три недели на то, чтобы что-то специально выглядело прибыльным. Эта слабость не принадлежит одному боту. Она принадлежит любой автономной системе с капиталом на балансе, выдающей доверие на основе внешнего вида - а таких систем впереди будет всё больше.



