摘要:知名MEV机器人Jaredfromsubway.eth因被诱导授予代币支出权限,导致超750万美元资产被清空。攻击者通过伪造流动性池与代币合约构建蜜罐,利用其自动化逻辑完成资金转移,凸显自动化系统在信任最小化框架下的新型安全盲区。
币圈界报道:
MEV机器人反被操纵:750万美元资金外流事件深度解析
一名以太坊生态中活跃的MEV机器人运营商Jaredfromsubway.eth遭遇重大损失,资产被远程耗尽,总金额超过750万美元。该事件源于攻击者精心设计的“反MEV”策略,通过操控链上环境诱使机器人主动授权代币支出权限,进而实现资金转移。这一攻击并非传统意义上的合约漏洞或钓鱼骗局,而是对自动化决策流程的精准劫持。
虚假合约诱导授权:攻击核心机制曝光
据安全机构Blockaid披露,此次攻击依赖于66个伪造的代币合约,这些合约模拟了如Wrapped ETH、USDC和USDT等主流资产,并与虚假流动性池配对,营造出极具吸引力的交易机会假象。机器人在执行常规策略时,误判这些为真实有利可图的套利路径,从而触发其预设的授权行为,向攻击者控制的辅助合约开放资金调用权限。此过程完全符合其既定逻辑,却最终成为资金外流的通道。
自动化系统的信任悖论:从逐利工具到攻击目标
尽管MEV机器人普遍被视为市场效率的推动者,其运作依赖高度自动化的逻辑与最小化人为干预,但本次事件揭示了其内在脆弱性。攻击者并未破解私钥或利用合约代码缺陷,而是针对机器人对特定链上信号的响应模式进行建模,设计出能触发其正常行为但导向恶意结果的环境。这标志着一种新型攻击范式——即通过重构输入条件,将系统的“可信逻辑”转化为攻击入口。
反MEV蜜罐:攻击者如何制造信任陷阱
Blockaid首席技术官Raz Niv将该手法定义为“反MEV蜜罐”,强调其本质是利用机器人对可预测行为路径的依赖。攻击者在数周内部署了大量伪装成合法资产的伪造合约,通过构造看似合规的交易场景,引导机器人执行授权操作。当所有66个后门被同时激活,机器人库存中的ETH、USDC与USDT被瞬间清空。这一过程表明,一旦自动化系统建立广泛且可复用的权限体系,便可能成为攻击者的首选目标。
对去中心化金融生态的深远警示
该事件不仅关乎单一机器人的命运,更指向整个自动化交易生态的安全边界。即使系统设计初衷为减少信任依赖,其对外部合约的交互仍构成潜在风险点。尤其值得注意的是,此前有报道称以太坊联合创始人Vitalik Buterin也曾遭受该机器人三明治攻击,而此次反转则显示高阶基础设施同样可能成为攻击载体。业内评论人士指出,此类事件不应被简单视为“报应”,而应作为系统性风险升级的警钟。
未来防御方向:权限管理与链上行为监控
当前焦点已转向此类攻击是否具备可复制性,以及机器人运营方是否会重构其权限授予机制。若“反MEV蜜罐”模式持续演化,或将催生新的防御策略,例如引入动态权限阈值、增强对异常合约组合的识别能力,或采用零知识验证机制来确认链上环境的真实性。后续需密切关注行业是否就此展开标准升级,以应对日益复杂的自动化博弈格局。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。