资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Jaredfromsubway.eth 因虚假代币骗局损失约750万美元
攻击者创建了66个伪装成主流加密资产的虚假合约。安全研究人员指出,开放的代币授权机制导致了最终的资产被盗。被盗资金被兑换为以太坊,其中一部分被转移至 Tornado Cash。
臭名昭著的以太坊 MEV 机器人 jaredfromsubway.eth 在攻击者利用虚假代币合约欺骗其自动交易系统后,损失了大约750万美元。
据区块链安全公司 Blockaid 称,此次攻击利用了伪造的流动性池和经过篡改的代币授权,最终使攻击者得以提取数百万美元的加密资产。
该事件迅速引起了加密领域的广泛关注,因为 jaredfromsubway.eth 是以太坊上最活跃的三明治机器人之一。据链上分析师 Specter 透露,与该机器人关联的钱包在上周六的一笔交易中损失了超过700万美元。
区块链数据显示,攻击者提取了1474.58枚 WETH、约290万美元的 USDC 以及约200万美元的 USDT。Blockaid 估计被盗资产总价值约为750万美元。
重要的是,调查人员并未发现私钥泄露的证据,也排除了钓鱼攻击或主流 DeFi 协议漏洞的可能性。研究人员得出结论:攻击者操纵了机器人的自动交易流程。
虚假合约设下精心陷阱
据 Blockaid 披露,攻击者花费数周时间构建了一个包含66个虚假代币合约的网络。这些合约模仿了 WETH、USDC 和 USDT 等热门资产。此外,攻击者还部署了看似合法的虚假流动性池,以欺骗机器人的交易算法。结果,系统将这些交易路径识别为潜在盈利机会。
在早期交易中,该设置表现正常,甚至还产生了小额收益。因此,机器人继续与恶意合约交互,未能察觉威胁。然而,当交易规模增大时,结果截然不同。根据匿名开发者 banteg 发布的取证报告,这些合约在满足特定条件时会改变行为。
社区警报:Blockaid 漏洞检测系统发现了一起涉及 @jaredsmev MEV 机器人的以太坊攻击事件。该事件源于攻击者控制的合约诱骗自动化 MEV 执行系统授予代币授权,随后利用这些授权盗取资金。
小额交易正常消耗了代币授权,但大额交易却保留了这些授权。因此,攻击者得以访问机器人大量资产。报告识别出16个活跃的 WETH 授权,总计约1474.58枚 WETH,与最终攻击中被提取的数量高度吻合。
随后,攻击者执行了协调一致的提款操作:一个主合约同时触发66个子合约,每个子合约都按授权限额提取资金,并将其转移到攻击者的钱包。
攻击者事后兑换资金
据链上追踪工具 Lookonchain 显示,攻击者将被盗资产兑换为约4427枚 ETH。此外,区块链记录表明,其中有1000枚 ETH 随后被转移至 Tornado Cash。
与此同时,一个声称代表 jaredfromsubway.eth 的 X 账户悬赏100万美元,征集有助于追回资金的信息。然而,多名链上观察者对该账户的真实性表示质疑。截至目前,实际运营者并未发布任何经过验证的声明。
此次攻击对以太坊最知名的 MEV 参与者之一造成了重大打击。Jaredfromsubway.eth 曾凭借三明治交易策略声名鹊起,并一度位列网络每日 Gas 消耗最高的地址之一。
结论
此次攻击表明,老练的攻击者能够通过欺骗性的合约结构来利用自动化交易系统。通过创建令人信服的虚假市场并获取代币授权,攻击者成功从以太坊最活跃的 MEV 机器人之一手中盗走了数百万美元。
