资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
JaredFromSubway 机器人遭逆向攻击,损失约 750 万至 1500 万美元
据多方报道,以太坊上知名的 MEV 机器人 JaredFromSubway 在本次安全事件中损失了约 750 万至 1500 万美元。攻击者利用虚假代币合约,欺骗了该机器人的自动交易逻辑。
事件发生后,机器人运营方公开悬赏 100 万美元,希望追回被盗资金。
攻击手法:利用假代币骗取授权
区块链安全机构 Blockaid 分析指出,本次 MEV 机器人攻击并未利用智能合约漏洞、私钥泄露或钓鱼攻击。攻击者创建了数十个伪造的代币合约,这些合约的外观与 WETH、USDC、USDT 等常用资产高度相似。
JaredFromSubway 的自动交易系统将这些合约识别为有利可图的交易机会。当机器人与之交互时,它在不知情的情况下向攻击者控制的合约授予了代币支出权限。研究人员称,仅一次授权就涉及超过 92 枚 WETH。当权限累积到足够数量后,攻击者通过最终合约将机器人钱包中的资金全部转出。
Blockaid 将此次事件描述为一次精心设计的“反向 MEV 策略”——攻击者没有直接攻击基础设施,而是利用了机器人执行框架中内置的假设。
背景:从“三明治交易”获利者到受害者
JaredFromSubway 此前因执行“三明治交易”而闻名,这是一种通过监测以太坊内存池中的交易来获利的策略。然而,安全研究人员指出,正是这套带来利润的自动化逻辑最终被攻击者反向利用。
该机器人在 2023 年曾因大量消耗以太坊 Gas 进行抢跑交易而声名鹊起,高峰时期日赚约 100 万美元。攻击者据信花费了数周时间,专门制作了虚假的流动性池和欺骗性代币合约,以吸引该机器人的注意。
后续:运营方悬赏追回资金
事件发生后,机器人运营方声称损失超过 1500 万美元,并公开悬赏 100 万美元以换取资金归还。此外,他们还宣布额外提供 5 万美元奖金,用于征集识别攻击者身份的信息。
PeckShield 等安全机构监测到,攻击者已将部分被盗资金兑换为约 4400 枚 ETH,并将其中 1000 枚 ETH 存入 Tornado Cash 混币器。
