Фейковый Flashbots Protect: делегация session-key на $283К

«MEV-защита», которой не было

Август 2025. Трейдер из Москвы беспокоится о MEV-сэндвичах при планируемом свапе 200 000 USDC → ETH. Гуглит «flashbots protect» и попадает на flashbots-protect.io. Сайт мимикрирует под реальный Flashbots, просит «подключить для protected routing». Он подключается, подписывает «session key» сообщение. Подпись делегирует подписные права relayer-адресу. Двумя транзакциями позже весь кошелёк — 283 000 USD — пропал, подписан relayer-ом.

Что Flashbots реально делает

Flashbots Protect — реальный сервис, маршрутизирующий транзакции через приватный мемпул для предотвращения front-running и sandwich-атак. Реальный URL — protect.flashbots.net. Настройка — это конфигурирование RPC-эндпоинта в MetaMask — никакого подключения кошелька, никакой подписи, никакого делегирования. Пользователь меняет RPC сети, транзакции, идущие через этот endpoint, попадают в защищённый pool.

Как работает имитация

Фейковый сайт учит пользователя выдать «session key» — делегацию подписной власти третьему адресу — утверждая, что делегация необходима для работы защиты. Это неправда. Session keys — реальный примитив Ethereum (связан с EIP-7702), но ни один защитный сервис их легитимно не требует. Делегация — это и есть механизм слива.

Три правила для «MEV protection»-сервисов

• Реальная MEV-защита это RPC-конфигурация, не делегация подписи. Flashbots, MEV Blocker, Cowswap — все реальные защиты включают изменение того, откуда транслируются транзакции, не делегирование кто может подписывать от вашего имени.
• Реальные URL короткие и конкретные. protect.flashbots.net, rpc.mevblocker.io, cow.fi. Дефисные похожие (flashbots-protect.io) — фейк.
• Session-key делегации — продвинутые операции. Если не понимаете, какие именно права делегируете и на какой конкретный адрес — отказывайтесь от подписи.

Восстановление

Если делегировали session-key: отзовите делегацию немедленно, если кошелёк это поддерживает; иначе переведите все средства из кошелька — делегация не может быть отозвана на EOA-кошельках после в старых потоках. Кошелёк должен считаться навсегда скомпрометированным независимо.

Более глубокий урок

Изощрённые трейдеры — наиболее ценные цели. Мошенничества на них используют язык трейдерского сообщества — MEV, sandwich-атаки, session keys, account abstraction. Реальная защита приходит от понимания, что каждый термин реально значит, и способности верифицировать, согласуется ли данное действие с заявленным.