一名以太坊上的著名MEV机器人运营商Jaredfromsubway.eth遭遇严重财务打击,其资产被攻击者通过精心设计的虚假交易环境诱导授权,进而实现大规模资金外流。该事件于上周六被披露,凸显出自动化交易系统在追求效率与收益过程中所隐藏的安全盲区。
据安全机构Blockaid分析,此次攻击并非传统意义上的合约漏洞利用或钓鱼欺诈,而是针对机器人执行逻辑的一次精准操控。攻击者部署了66个伪装成主流代币(如wETH、USDC、USDT)的伪造合约,并将其与虚假流动性池配对,制造出极具吸引力的交易机会。这些看似合规的链上工件成功触发了该机器人的自动化决策流程,使其主动授予攻击者控制的辅助合约支出权限,最终导致资金被批量转移。
作为典型的自动化交易实体,该机器人原本依赖预设规则捕捉市场套利机会,尤其在三明治攻击中扮演关键角色。历史数据显示,其在2024年11月至2025年10月期间贡献了约70%的此类攻击事件,每年可能造成数千万美元的隐性成本。然而,此次事件标志着一个反转——曾经的利润收割者,如今却成为攻击者的猎物。这表明,只要系统的自动化行为具备可预测性,就可能被逆向设计为攻击入口。
Blockaid首席技术官Raz Niv将此攻击模式定义为“反MEV蜜罐”。其本质是构建一个符合机器人预期逻辑的虚假生态,诱导其在无意识中完成授权动作。攻击者并未破解私钥或利用代码缺陷,而是利用机器人对“高回报交易”的固有偏好,将其自身的信任机制转化为攻击跳板。这种攻击方式的关键在于:一旦获得授权,攻击者可在单笔交易中调用全部66个后门,迅速清空多个资产地址中的ETH、USDC及USDT。
尽管该机器人以“最小化信任”为设计原则,但其仍需与外部合约交互并授予权限。这一环节成为最大弱点。事件暴露了一个深层矛盾:当系统依赖可重复使用的代币限额来提升效率时,恶意参与者便有机会专注于获取这些权限本身,而非突破底层执行层。这也让此前针对Vitalik Buterin等高关注度人物的三明治攻击显得微不足道——这一次,攻击的目标正是系统本身的核心运行机制。
当前焦点已转向该类攻击的普遍性及应对策略。业界亟需评估此类反MEV蜜罐是否正演变为一种可复制的攻击模板。同时,机器人运营方或将重新审视其权限管理模型,探索更动态、更细粒度的授权机制。若此类威胁持续扩散,可能迫使整个自动化交易生态加速引入行为异常检测、链上环境验证等防御性措施,从而重塑DeFi系统的安全边界。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.