摘要:2026年6月,一名名为jaredfromsubway.eth的以太坊MEV机器人遭遇系统性攻击,约750万美元资产被转移。攻击者通过部署虚假代币合约诱骗机器人授权,利用权限漏洞完成资金抽离,并借助Tornado Cash进行洗钱。
币圈界报道:
以太坊高阶交易机器人突遭系统性资金劫掠
2026年6月20日,以太坊网络上一个活跃于三年之久的MEV交易机器人jaredfromsubway.eth遭遇重大资产流失,链上数据显示其被抽走金额接近750万美元。该机器人是网络中最具影响力的三明治交易执行者之一,其运作模式依赖于自动化审批与高频套利逻辑。
非传统攻击路径:权限滥用成关键突破口
此次事件并非由钓鱼链接、私钥泄露或主流DeFi协议漏洞引发。链上安全机构Blockaid确认,攻击核心在于恶意合约诱导机器人主动授予代币使用权限,从而实现资金的合法化转移。
伪造流动性陷阱:多阶段诱骗策略曝光
被盗资产涵盖封装以太币(WETH)、USD Coin(USDC)及泰达币(USDT)。攻击者事先部署了66个伪装成真实稳定币的合约,构建虚假流动性池,使机器人误判为高回报交易机会。
初期小额测试交易表现正常,成功消耗部分授权额度并产生微利,以此建立信任机制。而大额交易则触发隐藏逻辑——合约保持授权开放状态,避免权限耗尽,确保后续大规模提款可行。
协同式提款与匿名清洗链路揭示
取证报告由匿名开发者banteg发布,指出此类合约具备“区块级行为切换”特性,即根据交易规模调整响应机制。报告识别出16个持续有效的WETH授权额度,合计约92.16 WETH,总和与最终损失金额高度吻合。
攻击通过一个协调型合约统一调用全部66个伪造合约的提取功能,一次性完成资金清空。随后,窃取资产被转换为约4427枚ETH,估值达770万美元。
据Lookonchain追踪,攻击者已将1000 ETH注入Tornado Cash进行混币处理。尽管有自称该机器人所有者的X账户宣称损失高达1500万美元并悬赏100万美金追回资金,但多位链上分析人士指出该账号极可能为仿冒,目前无第三方安全公司证实损失超出Blockaid所披露的750万美元范围。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。