Хакер викрав $7,5 млн у одного з найбільших MEV-ботів Ethereum

Traders Union
Всі новини
Криптовалюти
Хакер викрав $7,5 млн

Всі новини

Головні новини

Вибір редакції

Криптовалюти

Фінансові новини

Валюти

«Голоси» ринку

Центральні банки

Хакер викрав $7,5 млн у одного з найбільших MEV-ботів Ethereum — Злам великого Ethereum MEV-бота

Один із найвідоміших MEV-ботів в мережі Ethereum, jaredfromsubway.eth, втратив приблизно $7,5 млн у результаті витонченого експлойту. За даними блокчейн-аналітиків, зловмисник обманом змусив торговий алгоритм надати дозволи на витрачання токенів шкідливим смартконтрактам під своїм контролем.

Ця стаття була перекладена з оригіналу. Читайте оригінальну версію від нашого кореспондента тут.

Після експлойту викрадені WETH, USDC та USDT були конвертовані у приблизно 4427 ETH. Згодом нападник відправив 1000 ETH через криптоміксер Tornado Cash.

Loading...

Твіт було видалено автором.

Але ми все зберегли 🙂.

Дослідники заявили, що інцидент не був спричинений компрометацією приватних ключів, фішингом або вразливістю у великому DeFi-протоколі. Замість цього зловмисник використав логіку автоматизованої торгівлі бота.

Протягом кількох тижнів було розгорнуто десятки фейкових токенів і шахрайських пулів ліквідності, кожен з яких був розроблений так, щоб виглядати як прибуткова торгова можливість для MEV-бота.

Складна пастка з дозволами

За словами розслідувачів, бот неодноразово схвалював смартконтракти зловмисника на витрачання своїх активів. Під час невеликих тестових транзакцій ці дозволи використовувалися легітимно, що дозволяло схемі залишатися непоміченою. Однак у більших транзакціях дозволи навмисно залишалися активними.

Потім координуючий смартконтракт одночасно скористався цими діючими дозволами на кількох адресах, спустошивши гаманці бота за одну транзакцію.

Додатковий аналіз розробника banteg вказав на те, що експлойт функціонував як ретельно розроблена пастка. Він працював нормально протягом тривалого періоду, перш ніж перейти в режим крадіжки активів.

Один із найбільших MEV-ботів Ethereum

Бот jaredfromsubway.eth працює в мережі Ethereum з початку 2023 року і вважається одним із найбільших учасників ринку сендвіч-атак. Такі боти отримують прибуток, розміщуючи транзакції безпосередньо перед і після угод користувачів.

Після зламу акаунт у X, який стверджує, що належить оператору бота, заявив, що збитки склали $15 млн, і запропонував винагороду в розмірі $1 млн за повернення коштів. Проте дослідники вважають, що акаунт, швидше за все, фейковий, оскільки немає доказів, що пов'язують його з реальним оператором бота.

Цей інцидент доповнює ширшу тенденцію зростання збитків у секторі DeFi. За словами генерального директора Binance Річарда Тенга, хакерські атаки на DeFi спричинили збитки у розмірі $621 млн лише за квітень 2026 року. Він стверджує, що подальше зростання галузі залежатиме від посилення заходів безпеки для користувачів і смартконтрактів.

Раніше хакери зламали Humanity Protocol, отримавши доступ до приватних ключів члена Humanity Foundation. Аналітики оцінили збитки від цієї атаки у понад $30 млн.

Цей матеріал може містити думки третіх сторін, жодні дані та інформація на цій веб-сторінці не є інвестиційною порадою згідно з нашим Застереженням. Хоча ми дотримуємося суворої Редакційної неупередженості, цей пост може містити посилання на продукти наших партнерів.

Вам сподобалася стаття?