以太坊生态中一名高调的MEV机器人运营者Jaredfromsubway.eth遭遇重大安全事件,其资金储备在上周六被清空,损失逾750万美元。该事件源于攻击者精心设计的‘反MEV’策略,通过操控链上逻辑诱使机器人主动授予代币支出权限,进而实现资金转移。
据安全机构Blockaid披露,此次入侵并非传统意义上的合约漏洞或钓鱼攻击,而是针对机器人决策流程的精准操纵。攻击者部署了66个伪装成主流资产(如wETH、USDC、USDT)的伪造代币合约,并将其与虚假流动性池配对,营造出极具吸引力的交易机会。这些看似合规的链上工件成功触发了机器人的自动化执行机制,使其在无意识中向攻击者控制的辅助合约发放了可耗尽资金的权限。
MEV机器人通常依赖于对未确认交易的实时监控,通过重新排序或插入交易来捕获市场价差收益。此类行为常被批评为对普通用户征收“隐形税”,尤其在三明治攻击中表现明显。研究显示,2024年11月至2025年10月期间,以太坊上每月发生6万至9万次三明治攻击,其中约七成与该机器人有关。在此背景下,本次事件尤为特殊——一个长期主导市场的自动化系统,竟因自身逻辑被逆向利用而成为攻击目标,凸显出算法驱动型实体在信任最小化假设下的内在风险。
Blockaid明确指出,此事件不属于典型的网络钓鱼或智能合约漏洞利用。其核心在于攻击者瞄准了机器人执行任务时的特定行为模式——即基于预设规则自动授予外部合约权限。首席技术官Raz Niv将这一手法定义为“反MEV蜜罐”,其本质是通过构造符合机器人预期的环境,诱导其做出对攻击者有利的授权决定,而非直接破解私钥或访问底层账户。
Niv透露,攻击者在数周内陆续部署了66个伪造代币合约,外观上高度模仿真实资产。这些合约与虚构的流动性池结合,形成一个逼真的交易场景,足以欺骗具备复杂判断逻辑的机器人。当机器人依据其编程逻辑识别出“高回报”机会时,便自动执行授权动作,将资金支配权交予攻击者。随后,攻击者在同一笔交易中批量调用全部66个接口,迅速提取所有ETH、USDC及USDT余额,完成资产清空。该过程揭示了一个深层隐患:一旦系统依赖广泛且可复用的授权额度以提升效率,恶意方即可集中精力获取这些许可,而非攻破执行引擎本身。
该事件将焦点从盈利机制转向操作安全性。尽管机器人设计初衷是实现“最小化信任”的自动化运行,但其仍需与外部合约交互并授予权限。攻击者正是利用这一点,构建出既合法又危险的链上环境,使正常功能演变为资金外流通道。值得注意的是,今年早些时候,以太坊联合创始人Vitalik Buterin也曾遭遇该机器人的三明治攻击,虽损失微小,却已暗示其影响力遍及各类交易规模。而此次事件则表明,即使是顶级基础设施,也可能因其赖以运作的自动化路径成为攻击靶心。投资者David Gokhshtein评论称,这是一场由获利者反受其害的警示,但也提醒不应轻率庆祝此类失败。
当前亟需评估此类基于授权的反MEV策略的普遍程度,以及机器人运营商是否会重构其权限管理机制与合约交互范式。若该攻击模式被复制,可能催生新的威胁形态。同时,也需关注行业是否将加速部署防御性措施,例如引入动态授权审查、限制一次性大额授权、或采用零知识验证等手段,以应对日益复杂的自动化博弈环境。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.