资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
JaredFromSubway的MEV机器人合约疑似遭利用,损失超4400枚以太坊
JaredFromSubway的MEV机器人合约似乎在以太坊上遭遇了疑似“悬空授权”漏洞攻击,损失超过4400枚ETH。最大单笔转账发生在6月20日,将1423枚ETH(价值约246万美元)从地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0转出。
该潜在漏洞最初由SpecterAnalyst发现,他指出受害者钱包可能损失超过700万美元,并暗示与JaredFromSubway的MEV机器人存在关联。后续分析师讨论指出,受害者正是JaredFromSubway的MEV机器人合约,问题出在授权机制上,而非简单的钱包被盗。
受监控的地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0在同一交易集群中发送了多笔大额ETH转账。除了那笔1423枚ETH的转账外,该账户还分别向不同的接收地址发送了1000枚ETH、1000枚ETH和1000枚ETH。这些成功的大额转账共计4423枚ETH,按当时ETH约1725美元的价格计算,价值约760万美元。
“悬空授权”成为初步推测的技术路径
早期技术分析指向“悬空授权”模式。在这种模式下,受害者向一个诱饵合约授予代币权限,但该授权在交易结束后未被消耗。如果受害者合约在交易结束前未验证所有授权是否已清除,剩余的授权额度便可能被用于后续的资金窃取。
这种情况更适合作为MEV机器人的攻击目标,而非普通的零售钱包被盗。JaredFromSubway是以太坊上最知名的MEV机器人身份之一,其标签jaredfromsubway.eth被Etherscan标记为“jaredfromsubway: MEV Bot 2”。虽然发送大额ETH转账的地址与之不同,但分析师围绕该交易集群的讨论指出,受害对象正是JaredFromSubway的机器人合约。
其机制也符合针对自动化执行系统的交易级陷阱特征。MEV机器人经常与不熟悉的合约交互,通过薄流动性进行路由,并在严格的时间假设下执行。如果机器人合约在交易完成前没有完全撤销权限,那么一个故意留下悬空授权的诱饵合约就可能将速度优势转化为执行风险。
委托账户引发执行链疑问
被耗尽资金的地址被标记为“已委托给MetaMask:EIP-7702委托器”。EIP-7702允许外部账户通过签名授权元组设置代码,从而使普通以太坊账户具备智能账户的行为特性,例如批量操作和委托执行。
这种委托关系并不能确认攻击路径,但它使得执行链的追踪更加重要,因为委托账户可以通过授权代码进行交互,而不仅仅是进行简单的转账。如果资金是通过悬空授权被窃取的,调查人员很可能将重点放在交易序列上,包括诱饵合约、授权目标,以及机器人合约是否在交易结束前未能清除权限。
这一事件为以太坊执行层的安全记录再添一起高价值案例。此前已有关于休眠以太坊钱包醒来后余额归零的独立警报,以及对钱包级模拟、威胁扫描和MEV保护日益增长的需求。
该交易集群中有一笔转账不应被计入追回资金。从0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65向0x3e37地址转入的1000.999993枚ETH交易失败,并被标记为已取消。因此,已确认成功的转出仍是核心链上事实:6月20日,超过4400枚ETH通过多笔转账从受审查地址流出。
