摘要:知名以太坊MEV机器人Jaredfromsubway.eth因遭遇精心设计的‘反MEV蜜罐’攻击,导致超750万美元资产被盗。攻击者通过伪造代币与流动性池诱导机器人批准支出权限,暴露自动化系统在授权环节中的深层脆弱性。
币圈界报道:
MEV机器人陷入链上陷阱:750万美元资产遭恶意授权卷走
以太坊领域知名自动套利机器人Jaredfromsubway.eth遭遇严重安全事件,其资金被攻击者通过操纵代币授权机制转移,总损失逾750万美元。此次攻击并非传统意义上的私钥泄露或智能合约漏洞,而是利用了机器人在执行过程中对链上交易路径的信任逻辑,实现隐蔽的资金提取。
攻击核心:伪装成高收益路径的授权诱饵
据Blockaid披露,攻击者并未直接入侵机器人账户,而是通过部署大量伪造合约,模拟主流资产如WETH、USDC及USDT的流动性场景。这些虚假项目构建出极具吸引力的交易机会假象,诱导机器人自动批准相关支出权限。一旦授权生效,攻击者即可调用后门合约,将真实资产迅速清空。
非典型攻击:从钓鱼到信任链劫持的演变
该事件区别于常规网络钓鱼或合约漏洞利用,其关键在于攻击者精准瞄准了自动执行系统的信任最小化机制——即机器人基于预设规则自主判断并授权操作的能力。攻击者无需破解密码学,也无需发现代码缺陷,仅需在链上制造可信的“机会窗口”,便能完成资金转移。
66个伪造合约构筑的反向捕猎网
Blockaid首席技术官Raz Niv指出,此次攻击是一次典型的“反MEV蜜罐”策略。攻击者耗时数周部署了66个伪造代币合约,配合虚假流动性池,营造出高度逼真的市场环境。当机器人按既定逻辑与这些伪资产交互时,即触发授权流程,最终导致其控制地址中所有ETH、USDC与USDT被一次性清空。
从单点受损到系统性风险警示
尽管此次事件集中于单一机器人,但其影响已超越个体范畴。研究表明,该机器人在过去一年中参与了约70%的三明治攻击,而此类行为每年对用户造成约6000万美元隐性损失。本次事件揭示了一个根本性问题:自动化工具的运行依赖于对链上交互的信任假设,一旦该假设被滥用,整个系统可能成为攻击者的杠杆。
MEV生态的边界正在模糊
值得注意的是,此事件与今年5月以太坊联合创始人Vitalik Buterin遭遇的小额三明治攻击形成呼应。这表明,无论交易规模大小,只要存在可预测的执行模式,皆可能成为攻击目标。当前,市场正重新评估MEV机制的本质——它不仅是利润收割工具,也可能成为攻击者重构激励结构的武器。这种双向可能性使得安全边界变得愈发模糊。
未来挑战:自动化逻辑的安全重审
随着攻击模式趋于可复用,业界需警惕类似“反MEV蜜罐”策略在其他自动化系统中的扩散。投资者与开发者应关注两个趋势:一是对机器人授权流程的深度审查;二是建立针对通用自动化模式的防护机制。毕竟,在去中心化环境中,一个错误的授权决定,可能比一次代码漏洞更致命。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。