本文目录
Toggle专门对散户「征税」维生的 MEV 机器人,这次换自己被人当散户收割了。以太坊链上知名的三明治攻击机器人 JaredFromSubway,近日遭一名攻击者精心设计的逆向陷阱清空约 750 万美元的 WETH、USDC 与 USDT。
安全公司 Blockaid 第一时间标记此事件,强调漏洞并非来自智能合约程式码缺陷、网路钓鱼或私钥外泄,而是攻击者把机器人自身的贪婪逻辑武器化,反过来对付它。
66 个假合约,几周布局一击得手
攻击者的准备工作长达数周。他陆续部署了 66 个仿冒代币合约,外观精准模拟 Wrapped Ether(WETH)、USD Coin(USDC)与 Tether(USDT)三种主流资产。
JaredFromSubway 的核心逻辑是持续扫描以太坊记忆体池,自动辨识并跟进高流动性代币的套利路径。这些假合约在机器人眼中与真实路径毫无二致,它如往常一样「嗅到」机会,随即批准向攻击者控制的辅助合约支出代币。
Blockaid 指出:「攻击者控制的合约诱骗了自动 MEV 执行系统,使其授予代币授权,这些授权事后被用于提领资金。」仅单笔授权就交出超过 92 WETH。最后一个合约利用这些已开放的授权,一次性扫光机器人钱包内的真实资产。链上交易可于 Etherscan 查阅。
从「收割机」变「被收割者」
JaredFromSubway 自 2023 年初活跃以来,已执行数十万次三明治攻击,收益高峰期毛收入估达 3,400 至 4,000 万美元。在 MEV 最猖獗的时期,以太坊全网每月约有 70% 的三明治攻击来自这支机器人。
它的恶名甚至蔓延到 Vitalik Buterin 本人身上,2026 年 5 月,JaredFromSubway 对 Vitalik 的代币兑换执行三明治攻击,动用逾 114 万美元 WETH 进行夹击。
如今这场翻转颇具「Karma」意味:这支机器人的竞争优势正是速度与攻击性,而攻击者恰恰把这两点变成弱点,机器人反应越快,就越早掉进陷阱。
类似的「猎杀 MEV Bot」事件并非首次。2023 年曾有一名恶意验证者利用相同逻辑,从多支三明治机器人手中抽走约 2,500 万美元;这次的手法则更加精密,以数十个假合约代替单点突破。
损失数字存疑,百万悬赏能换回资金吗?
Blockaid 与 PeckShield 的链上分析均将损失定在约 750 万美元。不过 JaredFromSubway 设计者在事后声称,若计入非直接链上可见的部分,总损失接近 1,500 万美元。目前他已开出 100 万美元赏金,条件是攻击者归还资金。
但从历史上来看,能要回这笔钱的机率,目前来说并不高。
相关报导
科普 | 号称以太坊「黑暗森林」的 MEV 矿工可提取价值是什么?
