摘要:知名MEV机器人Jaredfromsubway.eth因被诱导授予代币支出权限,导致超750万美元资产被盗。攻击者通过伪造代币与流动性池构建蜜罐,利用其自动化逻辑完成资金清空。事件暴露了自动化系统在信任最小化框架下的深层脆弱性。
币圈界报道:
MEV机器人反被利用:750万美元资产遭系统性劫持
上周六,以太坊生态中一名知名MEV机器人运营商Jaredfromsubway.eth遭遇重大资金损失,总额逾750万美元。该事件源于攻击者精心设计的“反MEV”策略,通过操纵机器人的自动化执行流程,诱使其主动授予代币支出权限,进而被用于非法转移资产。
伪造交易环境诱使授权行为,形成资金外流通道
据安全机构Blockaid披露,此次攻击的核心在于攻击者部署了66个伪装成主流代币(如wETH、USDC、USDT)的虚假合约,并将其与虚构的流动性池配对,营造出极具吸引力的套利机会。这些看似合规的链上工件成功触发了机器人预设的自动化决策机制,使其在未察觉的情况下向攻击者控制的辅助合约发放了可支出权限,最终导致资产被批量提取。
从逐利工具到被猎目标:高知名度系统的脆弱面显现
MEV机器人原本是为捕捉市场微小价差而设计的自动化执行系统,常通过三明治攻击从用户交易中获利。研究显示,仅2024年11月至2025年10月期间,此类攻击每月便达6万至9万次,其中约七成与该机器人相关。然而,本次事件标志着角色反转——一个曾作为“收割者”的系统,反而成为攻击者的靶心。这反映出即便具备高度自动化和低信任依赖特征的系统,仍可能因外部环境的精准构造而被逆向操控。
非传统漏洞:攻击聚焦于决策路径而非合约缺陷
Blockaid明确指出,本次事件并非典型网络钓鱼或智能合约代码漏洞所致。相反,攻击者针对的是机器人在执行过程中对“有利可图交易”的判断逻辑。其核心手段是将机器人的信任最小化机制转化为攻击入口——即通过模拟符合其编程目标的交易场景,诱导其做出本应保护自身利益的授权动作。该技术被称作“反MEV蜜罐”,本质是利用系统可预测的行为模式,而非直接突破安全边界。
66个后门协同运作:一次性清空多资产持仓
攻击者在数周内逐步部署了66个伪造代币合约,每项均与特定虚假流动性池绑定,形成完整的欺骗闭环。当机器人按既定规则识别并响应这些合成交易时,自动批准了多个受控合约的支出权限。随后,在一次集中操作中,攻击者调用全部66个授权接口,迅速清空了机器人持有的ETH、USDC及USDT等资产,实现大规模资金转移。这一过程揭示了自动化系统若依赖广泛且重复使用的授权额度,极易成为恶意行为者的首选突破口。
自动化并非绝对安全:信任最小化框架下的新风险
此事件将讨论焦点从盈利模型转向操作安全性。尽管MEV机制旨在提升效率与去中心化水平,但其依赖外部交互与权限授予的本质,仍为攻击者留下可乘之机。攻击者无需破解私钥或入侵底层代码,只需构建符合机器人预期的链上环境,即可引导其自我毁灭。此前以太坊联合创始人Vitalik Buterin也曾遭遇该机器人的三明治攻击,虽损失微小,却已暗示其影响力遍及各类交易规模。此次事件则警示:即便是最活跃的基础设施,也可能因自身的运行逻辑而陷入被动。
未来防御方向:授权管理与行为监控亟待升级
当前关键议题在于,此类基于授权的反MEV策略是否具有可复制性,以及机器人运营方是否会重构其权限配置与合约交互策略。业内普遍关注,该手法是否会演变为一种标准化攻击模板,推动自动化系统加速引入动态授权审查、行为异常检测与链上环境验证机制。随着类似事件曝光频率上升,如何在保持高效的同时强化安全边界,将成为下一代MEV系统设计的核心挑战。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。