Инвестор лишился $50 млн из-за сэндвич-атаки при обмене USDT на AAVE

Анонимный трейдер попытался конвертировать 50,43 млн USDT в токены AAVE, используя агрегатор CoW Protocol и децентрализованную биржу SushiSwap. Результат оказался катастрофическим: вместо адекватного объёма токенов инвестор получил всего 327 AAVE общей стоимостью около $36 000.

Как MEV-бот извлёк $9,9 млн прибыли

Фактически каждый токен AAVE обошёлся покупателю примерно в $154 000, тогда как рыночная цена на момент сделки составляла около $114. Столь чудовищное расхождение стало результатом классической сэндвич-атаки, проведённой MEV-ботом.

Бот отслеживал ожидающие транзакции в мемпуле и действовал по отработанной схеме:

• Взял флеш-кредит на $29 млн в WETH через протокол Morpho;
• Скупил крупный объём AAVE на бирже Bancor, искусственно разогнав цену актива;
• Пропустил транзакцию жертвы — инвестор купил токены уже по завышенному курсу;
• Продал собственные монеты на SushiSwap, зафиксировав $9,9 млн чистой прибыли.

Почему это важно

Этот инцидент стал одной из крупнейших потерь от сэндвич-атаки в истории DeFi. Он наглядно демонстрирует уязвимость даже крупных децентрализованных платформ перед MEV-эксплуатацией. Проблема MEV (Maximal Extractable Value) остаётся системной угрозой для пользователей on-chain торговли, и масштаб убытков в данном случае ставит вопрос о необходимости более жёстких механизмов защиты на уровне интерфейсов и протоколов.

Сооснователь Ethereum Виталик Бутерин ранее называл MEV одной из ключевых проблем, угрожающих децентрализации сети. В апреле прошлого года MEV-бот «перехватил» $200 000 у участников аирдропа PROMPT от Wayfinder — однако нынешний случай превосходит тот эпизод по масштабу в сотни раз.

Реакция Aave и CoW Protocol

Основатель Aave Стани Кулечов заявил, что интерфейс протокола заранее предупредил инвестора о «критическом проскальзывании» из-за аномально крупного размера ордера. Трейдер, тем не менее, подтвердил сделку с мобильного устройства, приняв все условия.

«Сегодня пользователь попытался купить AAVE за $50M USDT через интерфейс Aave. Учитывая необычно большой размер одного ордера, интерфейс Aave, как и большинство торговых интерфейсов, предупредил пользователя о чрезвычайном проскальзывании и потребовал подтверждения через чекбокс…» — Stani.eth (@StaniKulechov), оригинальный пост

Кулечов также сообщил, что команда Aave свяжется с пострадавшим и компенсирует ему $600 000 комиссий, полученных протоколом от этой транзакции.

Аналогичную позицию заняла команда CoW DAO. Разработчики подтвердили, что пользователь видел предупреждения о почти полной потере средств, но сознательно одобрил операцию. По их оценке, ни одна DEX или агрегатор не смогла бы исполнить ордер такого объёма по рыночной цене.

«Сегодня трейдер попытался обменять 50M aEthUSDT на aEthAAVE через интерфейс свопов Aave, работающий на CoW Protocol. Несмотря на чёткие предупреждения о том, что пользователь потеряет почти всю стоимость транзакции…» — CoW DAO (@CoWSwap), оригинальный пост

В CoW DAO признали, что этот случай показывает недостаточный уровень пользовательского опыта в DeFi с точки зрения безопасности. Команда анализирует, как усилить защитные механизмы, сохранив при этом автономию пользователей. Разработчики также пообещали вернуть все комиссии, полученные от данной транзакции.