以太坊生态中知名自动化交易实体Jaredfromsubway.eth遭遇严重安全事件,因攻击者利用其执行流程中的授权机制漏洞,导致超过750万美元资产被转移。该攻击不依赖传统钓鱼或合约漏洞,而是通过精心设计的链上交互,诱导机器人主动授予资金控制权。
据Blockaid披露,此次事件的本质是针对自动化执行系统中“代币授权”环节的精准操控。攻击者部署了66个伪装成主流资产(如WETH、USDC、USDT)的合约,并创建虚假流动性池,制造出极具吸引力的套利机会假象。当机器人基于信任最小化逻辑扫描链上活动时,误判这些伪造项目为可盈利目标,从而批准了由攻击者控制的辅助合约权限。
Blockaid首席技术官Raz Niv指出,本次攻击并非传统意义上的漏洞利用,而是一种新型“反MEV蜜罐”战术。其关键在于利用机器人的决策机制——即在无明确对手方验证的情况下,快速完成授权与执行。一旦机器人与伪造合约交互并批准支出权限,便等同于将资金管理权交予攻击者。随后,攻击者通过单笔交易调用所有后门合约,清空该地址内所有ETH、USDC及USDT。
尽管此次损失金额巨大,但其意义远不止于一个钱包的崩溃。该事件暴露了当前MEV生态系统中长期被忽视的安全盲区:自动化工具在追求效率的同时,对授权行为缺乏足够审查。此前研究显示,以太坊三明治攻击每年造成约6000万美元损失,其中七成与该机器人相关。此次事件则将焦点从利润提取方式转向支撑系统的底层信任假设——即使没有私钥泄露或代码缺陷,仅靠诱导授权即可完成资金窃取。
值得注意的是,该机器人还曾涉及更早的一起小额攻击事件:以太坊联合创始人Vitalik Buterin在处理26,544枚DigitalBits时遭遇三明治攻击,当时价值约2.11美元。这一细节表明,攻击者正将目光投向各类规模交易,无论金额大小。随着自动化系统日益普及,攻击者可通过通用模式复制此类策略,未来可能波及更多依赖相似授权机制的MEV工具。这促使行业重新审视自动化决策中“信任”的边界——那些原本用于提升效率的机制,如今也可能成为最致命的弱点。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.