coin-img-ETHETH-0.44%coin-img-BTCBTC+0.28%coin-img-SOLSOL+2.88%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.03%coin-img-TRXTRX+0.40%coin-img-DOGEDOGE-0.67%coin-img-SUISUI-0.07%coin-img-ETHETH-0.44%coin-img-BTCBTC+0.28%coin-img-SOLSOL+2.88%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.03%coin-img-TRXTRX+0.40%coin-img-DOGEDOGE-0.67%coin-img-SUISUI-0.07%coin-img-ETHETH-0.44%coin-img-BTCBTC+0.28%coin-img-SOLSOL+2.88%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.03%coin-img-TRXTRX+0.40%coin-img-DOGEDOGE-0.67%coin-img-SUISUI-0.07%coin-img-ETHETH-0.44%coin-img-BTCBTC+0.28%coin-img-SOLSOL+2.88%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.03%coin-img-TRXTRX+0.40%coin-img-DOGEDOGE-0.67%coin-img-SUISUI-0.07%

Эксплойт MEV-бота Jaredfromsubway на $7,5 млн вновь поднял вопрос безопасности в DeFi

20 июня MEV-бот Jaredfromsubway.eth стал жертвой атаки, ущерб оценивается в $7,5 млн. По данным расследования, злоумышленник сначала выпустил токен-обёртку и создал пул ликвидности, имитируя выгодную арбитражную возможность. Когда бот начал взаимодействовать с "приманкой", атакующий сумел вмешаться в торговую логику и заставить MEV-боты автоматизировать выдачу разрешений (approve), предоставив подконтрольному контракту долгосрочное право на списание средств. В результате были похищены 1 583 Ethereum (ETH), 2,87 млн USD Coin (USDC) и 2,09 млн Tether (USDT). Позднее активы консолидировали и обменяли на 4 427 ETH, что упростило последующее отмывание и снизило фрагментацию средств. Вскоре после этого в Tornado Cash прошла серия одинаковых переводов по 100 ETH — каждый примерно на $172 тыс. Такая схема усложняет отслеживание: множество меньших депозитов снижает эффективность аналитики для правоохранителей. По мере ускорения отмывания как минимум 1 000 ETH были заведены в Tornado Cash. Движение средств указывает на то, что акцент сместился с извлечения прибыли на сокрытие следов, а расследование теперь сосредоточено на разрыве ончейн-цепочки и усложнении возврата средств. Эксплойт Jaredfromsubway произошёл на фоне растущей роли MEV-ботов в ончейн-рынках. За последние годы автоматизированные стратегии превратились в многомиллиардные "движки исполнения", которые находят и реализуют возможности в разных сетях, включая Ethereum (ETH), Solana (SOL) и решения второго уровня. По мере концентрации капитала в таких системах возрастает цена операционных сбоев. В этом случае уязвимость была связана не с ошибкой в смарт-контракте как таковой, а с тем, как в рабочем процессе бота устроены разрешения на токены. На практике атакующие всё чаще бьют по доступам и правам списания, а не по дефектам кода. Несмотря на множество крупных инцидентов с потерями на сотни миллионов долларов, пользователи и протоколы по-прежнему редко отзывают выданные разрешения. Итог: эксплойт на $7,5 млн показал, что целью становятся процессы и права доступа, а не только уязвимости в коде. Укрупнение капитала в инфраструктуре MEV повышает риски операционных провалов для всего DeFi.
Выбрано
ETH
ETH-0.69%
USDC
USDC+0.03%
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.