Jaredfromsubway.eth MEV機器人過去一年主導以太坊約70%的三明治攻擊,近日遭駭損失750萬美元。攻擊者利用假包裝代幣誘騙機器人授予支出授權,隨後從合約中提取了1,474.58枚WETH、287萬枚USDC及200萬枚USDT。所得資金兌換為約4,400枚ETH,其中1,000枚ETH經由TornadoCash混幣器轉移。
返回
Jaredfromsubway.eth MEV機器人遭假代幣攻擊,損失750萬美元
Jaredfromsubway.eth MEV機器人在以太坊上遭駭客利用假包裝代幣欺騙,損失750萬美元,攻擊者藉此誘使這名三明治攻擊運營者授予支出授權。
區塊鏈安全公司Blockaid在對此次攻擊的分析中指出:「攻擊者利用了該機器人的機制:其自動化系統偵測到看似有利可圖的MEV機會,並生成對攻擊者控制的輔助合約的授權。」
根據Blockaid的說法,攻擊者創建了假包裝代幣——fWETH、fUSDC和fUSDT——並搭配一個假的Cap代幣,設計成看似能讓機器人在以太坊上追逐的獲利交易。一旦機器人批准攻擊者控制的輔助合約可動用真實資產,攻擊者便進行了「最終清掃」,透過transferFrom提取了1,474.58枚WETH、287萬枚USDC及200萬枚USDT。PeckShield數據顯示,所得資金被兌換為約4,400枚ETH,其中1,000枚ETH經由TornadoCash混幣器轉移。
這起針對主宰以太坊三明治攻擊的機器人的攻擊事件——該機器人在2024年11月至2025年10月期間佔此類活動約70%——凸顯了自動化交易基礎設施中持續存在的安全漏洞,即使是經驗豐富的運營者亦難倖免。750萬美元的損失可能會暫時減少以太坊上的三明治攻擊量,但也引發了對依賴自動化授權機制的MEV策略安全性的更廣泛質疑。
Jaredfromsubway.eth運營者此前是以太坊上最活躍的三明治攻擊者,透過在零售交易者的交易前後插入交易來提取價值。攻擊者的手法利用了根本性的設計漏洞:在正常交易中,機器人會在交易過程中使用完授權。透過設計出讓授權保持開啟的交易路徑,攻擊者累積了足夠的支出權限,一次性清空了合約。
加密貨幣評論員David Gokhshtein在社交媒體上表示,雖然此次攻擊不應被慶祝,但那些曾被該機器人「三明治攻擊」的人可能不會對此消息感到沮喪。市場數據顯示,截至攻擊發生時,ETH交易價格為1,741.21美元,高於其50日指數移動平均線1,725.59美元。
本文僅供資訊參考,不構成投資建議。
