资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
JaredFromSubway——以太坊上最知名的MEV机器人之一——遭遇了一次不寻常的漏洞利用,被盗走了约750万美元的WETH、USDC和USDT。一家区块链安全公司在安全报告中详细描述了这一事件,将其定性为对机器人决策逻辑的新型攻击,而非传统的智能合约漏洞。这次损失重塑了以太坊上自动化交易基础设施需要如何自我保护的方式。
攻击者部署了合约,诱骗JaredFromSubway的自动化系统授予代币授权。一旦这些授权落实,攻击者便抽走了该机器人持有的WETH、USDC和USDT。没有发生钓鱼攻击,已部署的智能合约也没有漏洞。该安全公司澄清说,此次事件利用了“机器人的自动化MEV机会检测和授权机制”,这是一类远比代码审计更少受到关注的风险。
这一区别至关重要。机器人自身的逻辑——即评估待处理交易并决定是否进行抢先交易、跟进交易或夹心交易的部分——做出了一系列决策,给了攻击者可乘之机。由于授权是在机器人的正常工作流程中完成的,钱包和协议用于防范人类用户的标准防护措施根本不起作用。JaredFromSubway已经在以太坊上成功运行多年,而以太坊上的MEV已成为一项专业化且竞争激烈的业务。该网络仍然是DeFi的主导链,正如近期顶级区块链上的开发者活动数据所证实的那样,这意味着这类机器人每天处理着巨大的价值量。
逻辑漏洞,而非代码漏洞
这种手段的机制很简单。攻击者构造了一系列交易序列,在机器人的传感器看来就像是有利可图的MEV机会。当机器人介入时,它按照程序设置需要交互的代币的授权——这是一种常见模式,可以在多次运行中降低Gas费用。但这一次,授权被设置给了攻击者控制的合约,随后这些合约提取了资产。盗窃在多笔操作中悄然展开,而非通过单次闪电贷或重入攻击。
此案的不同之处在于,没有任何类似漏洞的东西。机器人的代码完全按照设计运行。它只是无法区分真实的DeFi交互和旨在利用其授权行为的虚假交互。对于机器人运营商来说,这是一个比常规代码补丁更难修复的问题。它需要重新设计自动化系统模拟交易、评估对手风险以及实时管理代币授权的方式。
损失之后,MEV机器人的处境
JaredFromSubway多年来一直是以太坊MEV领域的常客,因此750万美元的损失对其运营商来说并非致命打击。但这给每一个运行自动化策略却不对交互合约进行深度模拟的机器人标上了巨大靶子。竞争对手的机器人现在可能面临类似的攻击。MEV市场本就残酷:机器人在速度、捆绑包含和构建者关系上竞争。如果运营商还需要担心授权层面的逻辑操纵,那么运行一个安全机器人的成本将急剧上升。
此次事件也凸显了以太坊MEV供应链中的一个缺口。区块构建者和中继者可以看到交易包,但很少验证机器人交易序列的意图是否可以在上游被利用。除非社区开发出中间件,在可疑的授权模式进入执行之前就发出警报,否则机器人基本只能依靠自己。而且,由于以太坊的发展路线图主要聚焦于包含列表和抗审查性,保护机器人免受逻辑漏洞利用的工具并未成为优先事项。
尚不明确的问题
该安全公司尚未发布攻击流程的完整链上示意图,因此交易的具体顺序以及机器人的授权检查如何被绕过的细节仍在研究中。同样未知的是,攻击者是专门针对JaredFromSubway,还是仅仅设置了一个陷阱,捕获了任何扫描内存池的机器人。如果这种方法可以推广,它可能成为一种可重复利用的漏洞,针对以太坊乃至具有类似机器人架构的Layer-2网络上的整类MEV机器人。
对于交易者和DeFi用户来说,直接风险很小。这些资产属于机器人运营商,而非终端用户。但当大型机器人突然失去流动性时,它可能会从市场撤出,从而扩大某些交易对的价差并降低执行质量。这种影响可能是暂时的,但它表明以太坊DeFi流动性的很大一部分依赖于少数自动化参与者,而它们针对特定威胁的防御非常薄弱。
