MEV机器人合约遭悬空授权攻击，逾4400枚ETH被盗

核心提要：知名MEV机器人JaredFromSubway的合约疑似遭遇‘悬空授权’攻击，导致超4400枚ETH被转出，价值约760万美元。事件引发对自动化系统权限管理与执行链安全的深度关注。

知名MEV机器人合约疑遭授权漏洞攻击，资金流失超4400枚ETH

以太坊网络上，用户JaredFromSubway运营的MEV机器人合约被曝存在潜在安全缺陷，疑似遭受“悬空授权”型攻击，造成超过4400枚以太坊（ETH）资产外流。其中最大一笔交易发生于6月20日，从地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0转移1423枚ETH，约合246万美元。

攻击路径指向授权机制失效，非传统钱包盗取

该漏洞最初由SpecterAnalyst披露，其指出相关账户可能面临逾700万美元的损失，并初步锁定受害者为JaredFromSubway的自动化机器人系统。后续分析确认，问题根源在于合约授权流程未闭环，而非常规意义上的私钥泄露或直接盗取。

监控数据显示，同一交易集群中，地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0在短时间内分批向多个接收方发送大额资金：除1423枚ETH外，另含三笔各1000枚ETH的转账，合计4423枚ETH。按当时1725美元/枚计算，总损失接近760万美元。

悬空授权成为核心技术推断

初步技术研判认为，攻击利用了“悬空授权”模式——即目标合约向一个恶意诱饵合约授予代币操作权限，但在交易完成后未及时撤销。若合约未在执行前验证所有授权已清零，剩余权限可能被重复使用，从而实现资金窃取。

此类攻击特别适合针对高频、低延迟的MEV机器人，因其频繁与未知合约交互，依赖精确时间窗口完成路由与套利。若机器人未能在交易结束前清除临时授权，便可能被设计精巧的陷阱合约捕获。

委托架构增加执行链追踪复杂性

受损地址被标记为“已委托至MetaMask：EIP-7702委托器”。该协议允许外部账户通过签名元组激活代码逻辑，赋予普通钱包类似智能合约的批量操作能力，包括跨合约调用与条件执行。

尽管此委托关系不直接构成攻击入口，但显著提升了行为追溯难度。若资金系通过遗留授权提取，调查将聚焦于交易序列中的授权合约、目标地址及机器人是否在关键节点遗漏权限清理动作。

此次事件再次凸显以太坊执行层在自动化系统安全方面的挑战。此前已有休眠钱包异常恢复后余额归零的案例，反映出对钱包模拟检测、威胁预判与MEV防护机制的需求持续上升。

值得注意的是，交易集群中一笔来自0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65的1000.999993枚ETH转账因失败而被取消，不应计入最终损失总额。目前可确认的事实是：6月20日，超过4400枚ETH经多笔成功转账从受审查地址流出。