MEV机器人JaredFromSubway遭授权攻击，750万美元资金被盗

核心提要：知名MEV机器人JaredFromSubway遭遇针对性攻击，因自动化系统被诱导授予代币授权，导致约750万美元资产被盗。事件揭示自动化交易逻辑在授权管理上的潜在缺陷，引发对MEV生态安全性的新一轮讨论。

以太坊核心MEV机器人遭精准授权劫持，巨额资金被定向转移

安全研究机构Blockaid披露，以太坊上具有影响力的MEV机器人JaredFromSubway遭遇严重安全事件，攻击者通过伪造交易路径诱导其自动授权系统，进而实现对WETH、USDC及USDT的批量提取。

非传统漏洞攻击，利用机器人响应逻辑完成渗透

此次事件并非由智能合约代码缺陷或钓鱼链接引发。据分析，攻击者并未直接入侵机器人自身，而是通过构造看似高回报的套利路径，诱使机器人在未充分验证的情况下批准了第三方合约的代币使用权限。

分阶段实施：先测试后布局，锁定未撤销授权

攻击者首先尝试即时消耗型授权路径，确认无残留权限后，切换至延迟生效模式，成功获取可重复使用的授权额度。链上数据显示，其中一笔授权涉及92.16枚WETH，且未被及时撤回。

多资产协同盗取，资金流向已链上追踪

攻击者利用已获批的授权，通过transferFrom函数从“jaredfromsubway: MEV Bot 2”合约中提取多种主流代币。资金最终转入以0x3e37开头的地址，区块记录显示总价值约为750万美元。尽管机器人运营方声称损失达1500万，但具体差额尚未解释。

伪装代币池诱导机器人误判交易价值

攻击者部署了66个外观与功能高度仿真的假代币合约，模拟真实资产如WETH、USDC和USDT，并将其接入虚假流动性池。这种设计有效欺骗了机器人的价格判断机制，使其误认为存在可观套利空间，从而触发授权行为。

历史争议再浮现，自动化系统风险受审视

JaredFromSubway曾因在2023年针对Vitalik Buterin的兑换操作发起夹子攻击而广受关注，当时动用超百万美元资金并引发社区争议。此外，该机器人曾在24小时内消耗近455枚ETH作为Gas费用，占当时全网用量的7%。本次事件再次暴露自动化系统在授权管理上的脆弱性，为当前关于MEV治理与用户保护的讨论注入新变量。