Один из самых известных торговых ботов сети Ethereum — jaredfromsubway.eth — лишился более $7,5 млн после того, как неизвестный атакующий использовал против него его собственную автоматическую торговую логику. Бот, на протяжении лет обиравший рядовых пользователей, стал жертвой той же механики, которую применял сам.
Что такое сэндвич-атака
Jaredfromsubway.eth специализировался на так называемых сэндвич-атаках — разновидности скрытого извлечения прибыли из чужих сделок. Схема выглядит так: бот замечает ожидающую подтверждения транзакцию другого пользователя, успевает купить актив раньше него, позволяет жертве совершить сделку по ухудшившейся цене, а затем немедленно продаёт. Каждый раз выигрыш невелик, но при тысячах атак в месяц он превращается в серьёзный доход — за счёт обычных участников рынка.
По данным компании по безопасности блокчейнов Blockaid, на долю этого бота приходилось около 70% всех сэндвич-атак в сети Ethereum. В совокупности такие атаки обходятся трейдерам примерно в $60 млн в год; с ноября 2024 по октябрь 2025 года фиксировалось от 60 до 90 тысяч атак в месяц. Бот работает с начала 2023 года.
Как сработала ловушка
Атакующий действовал методично на протяжении нескольких недель. Он разворачивал десятки фиктивных токенов и поддельных пулов ликвидности — так называют запасы токенов, заблокированных на децентрализованных биржах для обеспечения торгов. Эти ловушки внешне имитировали привлекательные сделки с популярными активами: завёрнутым эфиром (WETH), а также стейблкоинами USDC и USDT.
Бот реагировал предсказуемо: видел потенциально выгодные операции и в автоматическом режиме давал разрешения подконтрольным атакующему вспомогательным контрактам распоряжаться своими токенами. Поначалу эти разрешения использовались сразу в ходе тестовых сделок. Позднее атакующий выстроил маршруты так, чтобы разрешения оставались активными после завершения транзакции.
Получив устойчивый доступ к средствам, атакующий вывел из контрактов бота WETH, USDC и USDT на сумму свыше $7,5 млн. Часть похищенного была направлена через Tornado Cash — сервис для анонимизации транзакций, — что подтверждают данные из блокчейна, изученные изданием CoinDesk.
Показательный прецедент
В мае 2025 года CoinDesk сообщал, что тот же бот атаковал небольшую сделку сооснователя Ethereum Виталика Бутерина: заморозил $1,14 млн, чтобы опередить его транзакцию, и заработал на этом всего $4 после вычета комиссий.
По оценке Blockaid, произошедшее — не традиционная фишинговая атака и не эксплуатация уязвимости в коде контракта. Атакующий целился в систему принятия решений бота: автоматизированную логику, которая на огромной скорости выдаёт разрешения, ориентируясь на шаблоны и сигналы о потенциальной прибыли. Именно эта скорость и стала слабым местом.
Инцидент не делает сэндвич-атаки менее опасными для обычных пользователей. Но он наглядно показывает: системы, которые автоматически одобряют транзакции, не успевая их проверить, уязвимы так же, как и те, против кого они направлены.