币圈界报道：

MEV机器人合约疑遭授权漏洞利用，逾4400枚ETH被转出

以太坊网络上知名MEV机器人账户疑似遭遇技术性攻击，导致超过4400枚以太坊被转移。其中最大一笔交易发生于6月20日，从地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0转出1423枚ETH，折合约246万美元。

攻击路径指向未清理的授权机制

该事件最初由SpecterAnalyst披露，其指出受害者可能面临超700万美元损失，并初步锁定与JaredFromSubway的自动化交易系统相关联。后续多方分析确认，攻击并非传统钱包盗取，而是源于合约授权状态未正确清除。

监控数据显示，同一地址在短时间内向多个接收方分批发送总计4423枚ETH，包括三笔各1000枚的转账及一笔1423枚的巨额转移。按当时1725美元/枚计算，总损失接近760万美元。

“悬空授权”或为关键攻击入口

技术推演表明，攻击者可能利用了“悬空授权”模式：受害者合约向一个诱导性智能合约授予代币使用权，但该授权未在交易完成后被主动撤销。若合约未在执行前验证权限是否已清零，攻击者便能重复使用该权限进行资金提取。

此类漏洞尤其适合针对高频、自动化的MEV策略程序，因其频繁与未知合约交互并依赖时间窗口完成操作。一旦权限残留，即构成可被复用的攻击面。

委托架构增加链上追踪复杂度

被耗尽资金的地址已被标记为“已委托至MetaMask：EIP-7702委托器”。此机制允许普通账户通过签名指令实现智能合约式行为，如批量执行和外部代理调用。

尽管该委托关系不直接构成攻击路径，却显著提升了执行链条的追溯难度。调查需深入分析交易序列中的诱饵合约、授权目标以及机器人合约是否在交易闭环中完成权限回收。

此次事件再次凸显以太坊执行层在自动化系统安全防护上的薄弱环节。此前已有休眠钱包异常清零的案例，促使行业对权限生命周期管理、链上模拟检测及MEV防御机制的关注持续升温。

值得注意的是，交易集群中一笔来自0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65至0x3e37地址的1000.999993枚ETH转账因失败而被取消，不应计入最终损失。目前确认的合法转出仍为6月20日发生的多笔合计超4400枚ETH的资金外流。