Jaredfromsubway.eth MEV 机器人遭窃，损失超 750 万美元…

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

Jaredfromsubway.eth为何成为目标？

加密领域最成功的MEV机器人之一Jaredfromsubway.eth，在攻击者利用其自身自动执行逻辑后，被窃取超过750万美元。这一事件标志着该机器人罕见地遭遇重大挫败，它此前因在以太坊上实施夹击攻击和其他最大可提取价值策略而闻名。MEV机器人通过监控待处理的区块链交易，并试图通过控制交易顺序来获利，通常会在用户的交易前后插入自己的交易。对于DeFi用户来说，这种行为就像链上交易的一笔隐性成本。

本次攻击并非依赖常规的钓鱼流程或机器人智能合约中的直接漏洞。相反，攻击者控制的合约诱骗Jaredfromsubway.eth的自动化系统授予了代币权限。这些权限随后被用来从机器人的资金库中转移资产。Blockaid表示：“这不是典型的钓鱼攻击，也不是受害合约中传统的智能合约漏洞。”

反MEV攻击是如何实施的？

攻击者利用机器人自身的激励机制设下了陷阱。MEV机器人的设计宗旨是快速识别并执行盈利机会，人为审查环节有限。在本案中，这种自动化决策机制成了攻击面。Blockaid首席技术官Raz Niv将此事描述为一次反MEV蜜罐攻击。他说：“这是一次反MEV蜜罐攻击，因为它专门针对MEV机器人所使用的自动化、最小信任决策逻辑。”

在数周内，攻击者部署了66个假代币合约，这些合约复制了Wrapped ETH、USDC和USDT的名称与接口。随后，这些假代币与虚假的流动性池配对，伪装成有利可图的交易机会。这样的设置向机器人提供了看似值得追逐的交易。当Jaredfromsubway.eth与这个虚假环境交互时，它授权了攻击者控制的辅助合约，使其能够代表机器人使用真实资产。这些授权为攻击者打开了通往机器人资金库的通道。Niv表示：“讽刺的是，在这一过程中，机器人向攻击者交出了通往其数百万美元资金库的钥匙。”随后，攻击者执行了一笔交易，调用了全部66个后门，从受影响地址中搜刮了ETH、USDC和USDT。链上数据显示，部分被盗资金随后被发送至Tornado Cash——一种常被用来模糊资金流向的加密混币服务。

投资者启示

此次攻击表明，MEV基础设施可能隐藏着自身的安全风险。那些旨在比人类交易者反应更快的系统，一旦攻击者理解了其自动执行逻辑背后的假设，同样可能遭到操纵。

这对DeFi用户意味着什么？

Jaredfromsubway.eth长期以来一直是以太坊上MEV活动最引人注目的例子之一。研究估计，以太坊上的夹击攻击每年给交易者造成约6000万美元的损失。2024年11月至2025年10月期间，夹击攻击每月发生6万至9万次，其中约70%与Jaredfromsubway.eth有关。这一历史背景解释了此次攻击为何引发异常关注。在大多数DeFi黑客事件中，用户或协议是直接受害者。而本案中，目标是一个普遍被视为从普通交易者手中提取价值的机器人。该事件并未消除更广泛的MEV问题，但它表明，当机器人与恶意合约交互时，用于获取利润的自动化同样会带来集中的风险敞口。

此次攻击还揭示了DeFi执行层面的深层问题。机器人不仅相互竞争以获取有利可图的交易，它们还会形成可预测的行为模式，供攻击者研究。当这些模式涉及授权、路由逻辑或与未知合约的反复交互时，机器人本身就可能成为目标。声誉影响可能比金钱损失更大。Jaredfromsubway.eth长期以来积累了巨额利润，但此次攻击削弱了“先进MEV操作者在结构上比其交易对手更安全”这一观点。

MEV安全性将如何发展？

该事件很可能促使MEV运营商重新审视自动化系统如何处理授权、代币验证和流动性池校验。虚假代币名称和熟悉的界面不足以建立信任，尤其当机器人在速度上几乎不给人工检查留有余地时。对于DeFi协议而言，这一事件可能会增加改善用户MEV保护的压力。夹击攻击仍然是交易者面临的持续成本，而Jaredfromsubway.eth的历史活动规模表明，从公共内存池和可预测的交易流中可以提取多少价值。

此次攻击还为MEV伦理的辩论增添了新的维度。以太坊联合创始人Vitalik Buterin此前在兑换少量DigitalBits时曾遭到Jaredfromsubway.eth的夹击攻击，这表明即使是低价值交易也可能成为MEV系统的目标。损失虽小，但这个例子却揭示了这些机器人的无差别性。加密投资者兼评论员David Gokhshtein用直白的语言描述了公众反应：“我们不应该对此感到高兴，没有人应该庆祝……但如果你曾经被这个机器人夹击过……我敢肯定你对这个消息不会感到难过。”此次攻击不会终结MEV，也不会改变驱使机器人争夺交易排序的激励机制。然而，它确实表明，当攻击者围绕那些使机器人获得成功的逻辑设计陷阱时，高度盈利的自动化同样可以被利用。