Известный MEV-бот JaredFromSubway, действующий на блокчейне Ethereum, потерял $7,5 млн в результате атаки, связанной с вредоносными аппрувами. Инцидент произошёл 22 июня 2026 года и был подтверждён несколькими источниками в сфере безопасности блокчейна.
Как произошла атака
Злоумышленники использовали механизм вредоносных одобрений (malicious approvals), чтобы получить доступ к средствам, хранящимся в контракте бота. MEV-боты, такие как JaredFromSubway, автоматизируют поиск прибыльных возможностей на Ethereum, но их сложные контракты могут содержать уязвимости. В данном случае атакующим удалось обойти защиту и вывести активы.
Почему это важно для пользователей стейблкоинов
Хотя инцидент напрямую связан с MEV-ботами, он подчёркивает риски, связанные с аппрувами токенов. Многие пользователи, особенно при работе с децентрализованными биржами, дают бессрочные одобрения на трату токенов. Если контракт, которому вы дали аппрув, оказывается скомпрометирован, злоумышленник может вывести все ваши средства.
Практические советы для пользователей USDT и других стейблкоинов
- Отзывайте ненужные аппрувы: Используйте сервисы вроде Etherscan Token Approval или Revoke.cash, чтобы регулярно проверять и отзывать одобрения для подозрительных контрактов.
- Выбирайте сети с более низкими комиссиями: Атаки на Ethereum часто дороги из-за высоких комиссий за газ. Перевод USDT в сети TRC-20 (Tron) может снизить риски, связанные с взаимодействием со сложными контрактами Ethereum.
- Используйте аппаратные кошельки: Для крупных сумм стейблкоинов рекомендуется хранение на холодных кошельках с ограниченными аппрувами.
Заключение
Инцидент с JaredFromSubway — очередное напоминание о том, что безопасность в DeFi требует постоянного внимания. В VirtCardPay мы рекомендуем пользователям тщательно управлять аппрувами и выбирать сети с оптимальным балансом скорости, комиссий и безопасности. Для ежедневных транзакций USDT сеть TRC-20 предлагает низкие комиссии и высокую скорость, минимизируя поверхность атаки.