资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
以太坊知名 MEV 机器人 JaredFromSubway 遭攻击,损失约 750 万美元
事件概述
据安全机构 Blockaid 披露,以太坊上知名的 MEV 机器人 JaredFromSubway 被攻击者利用合约诱导其自动交易系统授予代币授权,进而遭遇资金盗取。攻击者通过控制合约,诱使 JaredFromSubway 的自动化系统授予了后续用于盗取资金的代币授权。
JaredFromSubway 公开声称损失达 1500 万美元,而 Blockaid 公开预估的损失约为 750 万美元。此前有报道将 JaredFromSubway 与 2023 年 Vitalik Buterin 的兑换交易及以太坊高额 Gas 消耗事件联系起来。
攻击手法并非传统漏洞
安全机构强调,此次事件并非普通的钓鱼攻击,也非受害者合约的直接漏洞。Blockaid 表示:“这不是典型的钓鱼攻击,也不是受害者合约中传统的智能合约漏洞。” 该机构指出,机器人在看似有利可图的 MEV 交易路径中,批准了攻击者控制的合约。
Blockaid 进一步说明,攻击者首先测试了授权即时使用的路径,未留下任何未消耗的授权额度。随后,攻击者改变了路径设计,使得机器人授予了未被使用或撤销的授权。其中一个案例显示,机器人向攻击者的辅助合约批准了约 92.16 枚 WETH 的授权。
最终盗取涉及 WETH、USDC 和 USDT
最终交易利用这些未关闭的授权,通过 transferFrom 函数从 JaredFromSubway 的 MEV 机器人合约中提取了 WETH、USDC 和 USDT。从链上记录可见,相关代币从“jaredfromsubway: MEV Bot 2”转移至以 0x3e37 开头的攻击者钱包。Blockaid 将盗取金额定为约 750 万美元。而 JaredFromSubway 的账户随后声称损失为 1500 万美元,并悬赏 100 万美元寻求全额追回资金。目前公开信息中尚未完全解释这一差额。
攻击如何利用机器人逻辑
此次攻击似乎瞄准了机器人自身的交易流程。MEV 机器人监控以太坊活动,并对看似有利可图的交易做出反应。在本案例中,攻击者控制的合约使交易路径看起来足够有利可图,从而诱使机器人授予花费权限。攻击者使用了 66 个假冒代币合约,这些合约复制了 WETH、USDC 和 USDT 的外观与功能,并与虚假的流动性池配对。这种设置推动机器人进行授权,而该授权随后成为盗取资金的通道。
JaredFromSubway 的前科再受关注
JaredFromSubway 是以太坊上最受关注的夹子机器人之一。在夹子攻击中,机器人在用户交易前后分别下单,导致用户获得更差的交易价格,而机器人则赚取价差。此前有报道称,该机器人在 2023 年 4 月曾针对以太坊联合创始人 Vitalik Buterin 的一笔小额兑换交易,在 SushiSwap 和 Uniswap V2 上投入约 114 万美元的 WETH 进行夹子操作。另有报道指出,该机器人在 2023 年曾于 24 小时内消耗 455 枚 ETH 作为 Gas,占当时以太坊 Gas 使用量的约 7%。
此次攻击事件将焦点再次投向自动化系统使用的代币授权问题。该案例表明,一个为快速响应公开市场数据而构建的系统,若在授权控制方面薄弱,可能被诱导授予不安全的权限。这也为当前关于 MEV、夹子交易以及以太坊用户保护的广泛讨论增添了新的篇章。目前,公开的关键信息主要来自 Blockaid 的技术分析、链上记录以及 JaredFromSubway 账户发布的帖子。暂无追回资金的确认消息。
