6月22日,以太坊生态中活跃度极高的自动化交易实体Jaredfromsubway.eth的运营方公开回应一起重大安全事件,承认其钱包因遭遇精心设计的链上诱捕机制,被黑客盗取超过750万美元价值的加密资产。该操作被归类为典型的‘蜜罐’攻击,凸显了自动化系统在复杂市场环境下的脆弱性。
据多家安全机构披露,此次攻击源于攻击者长期部署的一系列伪装合约。他们创建了66个仿冒WETH、USDC与USDT的代币合约及对应流动性池,通过制造人为价差诱导自动化系统误判为高回报套利机会。
当目标机器人在这些虚假池中执行交易时,系统自动授予了由攻击者控制的合约访问权限,而此类授权未被及时撤销。攻击者借此在单笔交易内触发后门逻辑,将机器人持有的资产转移至自身账户。
追踪数据显示,被盗资产包括1474.58枚WETH、287万枚USDC以及200万枚USDT。其中,约4400枚ETH已被兑换,并通过混币服务完成转移,另有1000枚ETH进入匿名网络路径。
Jaredfromsubway.eth曾是以太坊上最活跃的三明治攻击执行者之一,其策略依赖于监控交易内存池并在用户交易前后插入买卖订单,从中攫取价格波动带来的利润。
研究显示,在2024年11月至2025年10月期间,该机器人参与了以太坊上约七成的三明治攻击事件,高峰期日收入可达数十万美元。甚至曾成功抢先执行以太坊联合创始人Vitalik Buterin的交易,引发社区广泛关注。
运营者在社交平台感叹:“讽刺的是,我自己也成了被‘三明治’的对象。一个反向蜜罐骗走了近1500万美元。假池子、假代币,我的系统竟然批准了陷阱。”
这一事件揭示了当前加密生态中的深层矛盾:一边是依靠算法剥削散户的自动化机器,另一边则是利用这些机器缺陷进行更大规模掠夺的黑客群体。
用户通常通过一次性授权机制允许智能合约访问其代币余额,此举虽提升效率,却埋下安全隐患。即便断开连接,若未主动撤销授权,合约仍可继续调用资金。
该案例再次引发对最大可提取价值(MEV)影响的讨论。所谓“搜索者”通过监控交易队列,复制有利可图的交易并抢先提交,从而获取超额收益。这种机制本就存在竞争激烈与透明度不足的问题。
部分专业参与者采用私有中继网络来规避外部机器人复制或抢跑,以保障策略独占性。然而,这种基础设施的普及程度仍有限。
尽管运营方提出50%白帽赏金作为追回条件,要求攻击者在48小时内返还2150枚ETH,但该提议在安全社区中引发争议。考虑到已有1000枚ETH经由混币服务转移,时间窗口正迅速逼近,追回可能性面临严峻挑战。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.