MEV机器人借助Jaredfromsubway.eth盗取750万美元_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

MEV机器人借助Jaredfromsubway.eth盗取750万美元

2026-06-21 09:56:20

知名以太坊MEV机器人Jaredfromsubway.eth遭攻击，损失超750万美元

据报道，知名以太坊MEV机器人Jaredfromsubway.eth因攻击者利用其自动执行流程中的漏洞，被洗劫超过750万美元。该事件凸显了MEV基础设施中一项关键但常被低估的风险：一旦机器人被授予权限，攻击者只需诱骗其批准正确的代币授权，即可转移资金。

据Blockaid称，攻击者利用其控制的合约操控Jaredfromsubway.eth的自动MEV执行系统，使其发出代币授权，随后利用这些授权盗取资金。Blockaid表示，这既非典型的钓鱼攻击，也非机器人受害者合约中的简单智能合约漏洞。

关键要点

Blockaid将此次盗窃归因于恶意授权：攻击者控制的合约诱导Jaredfromsubway.eth批准支出，随后卷走资金。该攻击在设计上属于“反MEV”策略，瞄准机器人基于信任最小化的决策逻辑与执行管线，而非试图直接攻破机器人的私钥。伪造的代币与流动性假象在其中扮演核心角色，攻击者部署了数十个合约，伪装成以太坊上的主要资产与交易场所。该事件进一步凸显了系统性的MEV风险敞口——即便是以盈利为目标的机器人，一旦批准了错误的支出授权，也可能沦为风险源。

Blockaid对事件的描述

Blockaid在描述事件时表示，攻击者的主要手段是利用自动MEV机器人的运作方式：监控链上活动，并根据看似有利可图的链上机会执行交易。在本案中，那些“有利可图”的路径正是攻击者利用类似诱饵的合约所设下的陷阱。

Blockaid指出，上周六发生的事件并不像典型的钓鱼场景，也非传统意义上机器人受害者逻辑中的智能合约漏洞。相反，焦点落在了自动执行系统本身——尤其是代币授权步骤，这些步骤使机器人能够在MEV操作过程中与资产及辅助合约进行交互。

针对机器人授权的“蜜罐”攻击

Blockaid首席技术官Raz Niv向媒体表示，此次攻击本质上是一个“反MEV蜜罐”。他解释说，策略的核心是瞄准机器人基于信任最小化的决策逻辑——即决定执行哪些交易、授权哪些合约的部分。据报道，攻击者耗时数周部署了66个伪造代币合约，模仿Wrapped ETH（WETH）、USDC和USDT等常见资产，并搭配了伪造的流动性池。其目的是制造出类似Jaredfromsubway.eth这类自动系统所追逐的交易机会假象。

一旦机器人与这些伪造合约交互，Jaredfromsubway.eth便批准了某些由攻击者控制的辅助合约，这些合约随后被用于转移真实资金。正如Niv所言，机器人等于把“金库钥匙”交了出去——这提醒人们，在自动化场景中，授权行为可能和漏洞本身同样危险。随后，攻击者在一笔交易中调用了全部66个后门，将该地址中的所有ETH、USDC和USDT席卷一空，金额达数百万美元。

事件意义：不止关乎单一钱包

MEV机器人通常被描述为一种自动化工具，用于扫描未确认或待处理的链上活动，并通过重新排序或操控交易来提取利润。在此过程中，它们可能对DeFi用户施加“隐性税”——这一问题多年来已引起大量研究关注。此前有研究显示，以太坊上的三明治攻击每年给交易者造成约6000万美元损失，同时报告称2024年11月至2025年10月期间，每月发生6万至9万次三明治攻击。该研究还指出，其中约70%的攻击与Jaredfromsubway.eth有关。而此次事件将焦点从机器人的利润提取方式，转向了支撑这些操作的安全假设。当一个MEV系统依赖自动授权与执行路径时，攻击者或许不需要破解密码学，也不需要利用受害者合约中的漏洞，只需精心设计链上交互，诱使机器人向攻击者控制的地址批准支出权限即可。

MEV影响范围远超预期

尽管此次被盗事件是目前最严重的后果，但Jaredfromsubway.eth还涉及另一起事件：今年5月，以太坊联合创始人Vitalik Buterin在置换26,544枚DigitalBits时遭遇三明治攻击（当时价值约2.11美元）。虽然那次损失较小，但表明了MEV机器人甚至能瞄准相对小额的交易。对市场参与者而言，更广泛的启示在于：MEV活动并不仅限于高调的大额交易。它可以根据实时机会，渗透到不同流动性条件与交易规模中。对用户和集成商来说，这一现实已成为围绕公平性、透明度以及加密交易基础设施如何改变攻击者激励的持续辩论的一部分。同时，这也提醒人们，MEV中攻击者与受害者之间的界限，往往比公众认知的要更模糊。那些用于提取利润的相同操作模式，也可能被反向利用——尤其是当机器人必须在缺乏对交易对手充分保障的情况下，快速做出执行决策并授予权限时。

展望未来，投资者、DeFi用户和开发者应关注两个信号：一是此次事件是否会引发对MEV机器人如何处理授权与“辅助”合约的更广泛审视；二是类似的“反MEV蜜罐”策略是否会出现在其他自动化系统中。代币授权滥用的技术细节往往具有可移植性，下一次攻击可能不再聚焦于某个特定机器人，而是针对众多MEV工具所依赖的通用自动化模式。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文