Jaredfromsubway.eth,加密领域最成功的 MEV 机器人之一,在一名攻击者将该机器人的自动执行逻辑“反向利用”后,遭到掏空超过 750 万美元的资金。此次攻击采用了反 MEV 蜜罐(counter-MEV honeypot)的方法学,通过欺骗机器人其自动化决策系统,使其向攻击者控制的合约授予代币授权。MEV 机器人会监控待处理的区块链交易,并试图通过控制交易顺序获利,通常通过夹击攻击(sandwich attacks)以及以太坊上的其他最大可提取价值(maximal extractable value)策略来实现。
该事件标志着这种与以太坊夹击攻击密切相关的机器人,少见的公开性挫败。对于 DeFi 用户而言,MEV 机器人活动可能就像附着在链上交易之上的隐形成本。
攻击者使用 66 个假代币合约部署反 MEV 蜜罐
此次攻击并不依赖标准的钓鱼流程,也不涉及机器人智能合约中的直接漏洞。相反,由攻击者控制的合约诱使 Jaredfromsubway.eth 的自动化系统授予代币授权,而这些授权随后被用于从该机器人的金库中转走资金。
“这不是经典的钓鱼攻击,也不是受害方合约中的传统智能合约漏洞,”Blockaid 表示。
在数周时间里,攻击者部署了 66 个假代币合约,这些合约复制了 Wrapped ETH、USDC 和 USDT 的名称与接口。随后,这些假代币与假造的流动性池配对,旨在看起来像是有利可图的交易机会。
Blockaid 首席技术官 Raz Niv 将该事件描述为反 MEV 蜜罐。“这是一次反 MEV 蜜罐攻击,因为它专门针对 MEV 机器人使用的自动化、降低信任的决策逻辑,”他说。
当 Jaredfromsubway.eth 进入这个假环境时,它批准了攻击者控制的辅助合约,以其名义支出真实资产。这些授权为攻击者打开了进入该机器人的金库之路。
“Niv 说:“具有讽刺意味的是,在这个过程中,它把通往该机器人金库中数百万美元的‘钥匙’交给了攻击者。”
随后,攻击者执行了一笔交易,调用所有 66 个后门,从受影响地址中扫走 ETH、USDC 和 USDT。链上数据显示,部分被盗资金后来被发送到了 Tornado Cash,这是一种常用于掩盖资金流动的加密混币服务。
Jaredfromsubway.eth 与 2024 年 11 月至 2025 年 10 月间 70% 的夹击攻击相关
Jaredfromsubway.eth 长期以来一直是以太坊上最显眼的 MEV 活动案例之一。研究估计,以太坊上的夹击攻击每年给交易者造成约 6000 万美元的损失。根据报道,在 2024 年 11 月至 2025 年 10 月期间,每月发生的夹击攻击数量大约在 60,000 到 90,000 之间,其中约 70% 与 Jaredfromsubway.eth 有关。
在大多数 DeFi 漏洞攻击中,用户或协议是直接受害者。在此案中,目标是一个广泛被认为在从普通交易者身上攫取价值的机器人。该事件并不能消除更广泛的 MEV 问题,但它表明,当用于捕获利润的同一套自动化与敌对合约交互时,可能会带来高度集中的暴露风险。
此次攻击也凸显:机器人会产生可预测的行为模式,而攻击者可以对其进行研究。当这些模式涉及授权、路由逻辑或对未知合约的重复交互时,机器人本身就可能成为攻击目标。
以太坊联合创始人 Vitalik Buterin 曾在与 DigitalBits 进行小额兑换时遭到 Jaredfromsubway.eth 的夹击攻击,这表明即便是低价值交易,也可能被 MEV 系统盯上。损失很小,但这个例子也展示了这些机器人可以多么不加区分。
加密投资者与评论员 David Gokhshtein 用直白的话语解读了公众反应。“我们不应该为此感到开心;没人应该来庆祝……但如果你曾经被夹击过……我很确定你不会因为这条新闻而不安,”他说。
Blockaid CTO 将该攻击描述为针对自动化、降低信任的决策逻辑
攻击者围绕该机器人的自身激励模型设置了陷阱。MEV 机器人被设计用于快速识别并执行有利可图的机会,同时人类复核有限。在这种情况下,这种自动化决策就成了攻击面。
Blockaid 首席技术官 Raz Niv 表示,该事件具体针对的是 MEV 机器人所使用的自动化、降低信任的决策逻辑。该部署让机器人看起来像是在追逐值得的交易机会,从而促使它授予授权,最终使得攻击者获得进入该机器人的金库、价值数百万美元资产的权限。
该事件很可能促使 MEV 运营方重新审视自动化系统如何处理授权、代币验证以及流动性池验证。仅靠假代币名称和熟悉的接口不足以建立信任,尤其是在机器人以极快速度运行、留给人工核查的空间很少的情况下。
常见问题
Jaredfromsubway.eth 这个 MEV 机器人发生了什么?
Jaredfromsubway.eth 在遭受攻击者使用反 MEV 蜜罐攻击后,遭到掏空超过 750 万美元的资金。攻击者在数周内部署了 66 个假代币合约,这些合约模仿 Wrapped ETH、USDC 和 USDT,从而诱骗机器人向攻击者控制的合约授予代币授权。随后,攻击者执行了一笔交易,调用所有 66 个后门,从该机器人的金库中扫走资金。
与 Jaredfromsubway.eth 相关的 MEV 活动有多少?
据报道,在 2024 年 11 月至 2025 年 10 月期间,以太坊上的夹击攻击每月大约在 60,000 到 90,000 之间,其中约 70% 与 Jaredfromsubway.eth 相关。研究估计,以太坊上的夹击攻击已导致交易者每年约 6000 万美元的损失。
Blockaid 对该攻击方式有什么说法?
Blockaid 表示,这不是经典的钓鱼攻击,也不是受害方合约中的传统智能合约漏洞。Blockaid 首席技术官 Raz Niv 将该事件描述为反 MEV 蜜罐攻击,且特别针对 MEV 机器人所使用的自动化、降低信任的决策逻辑。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
