以太坊上最臭名昭著的MEV机器人之一,名为JaredFromSubway,据报道被盗取了大约750万美元。攻击者控制的合约欺骗了其自动化系统,使其授予了代币批准权限。
TL;DR
- 据报道,JaredFromSubway MEV机器人被盗取约750万美元。
- 安全公司Blockaid表示,该机器人被诱骗批准了恶意交易路径。
- 攻击者随后利用这些批准权限从机器人合约中提取资产。
- 该事件似乎是针对机器人自身的自动化程序,而非以太坊本身。
CoinDesk报道称,Blockaid确认了此次漏洞利用,表示攻击者控制的合约欺骗了机器人,使其批准了虚假的交易路径。这些批准权限随后被用来从机器人的合约中提取WETH、USDC和USDT。此事件引发了关注,因为JaredFromSubway长期以来一直与以太坊上的激进“三明治”交易相关联。
其中的讽刺意味难以忽视。MEV机器人被设计用来利用链上市场中微小的时机和路径优势。而在此事件中,机器人自身的自动化程序似乎变成了弱点。它非但没有从其他用户那里榨取价值,反而被操纵批准了一些后来掏空其余额的合约。
发生了什么
报道的漏洞利用并非对以太坊基础协议的黑客攻击。也并非普通存款者使用的主要DeFi应用程序的广泛性故障。目标是一个特定的MEV机器人及其在自动化交易期间用于与合约交互的逻辑。
这个区别很重要。MEV基础设施运作迅速,且通常依赖于高度自动化的决策。如果这种自动化可以被诱骗批准错误的合约,风险可能非常严重,因为交易执行时几乎没有人为审查。
根据报道,攻击者通过使用虚假的路径或合约来准备陷阱,这些路径或合约被机器人解读为有利可图的机会。一旦批准权限被授予,攻击者就利用它们来转出资产。用DeFi的术语来说,这是一个提醒:批准权限是强大的许可,而非无害的签名。
为何交易者关心此事
这件事的影响范围远不止一个机器人被盗。它突显了自动化交易系统普遍面临的风险:速度可能变成脆弱性。在MEV市场中竞争的机器人需要比人类交易者行动更快,但这同时也意味着它们可能容易受到精心设计的陷阱攻击。
对于以太坊用户来说,这起事件可能让人觉得是“诗意的正义”,因为“三明治”机器人普遍不受欢迎。但技术层面的教训更广泛。任何基于自动化合约交互而授予代币批准权限的系统都需要严格的安全措施、模拟和路径验证。
市场影响不太可能仅来自损失金额本身。750万美元的盗取数额虽然不小,但并非系统性风险。更大的影响在于对MEV基础设施声誉的打击,以及可能促使机器人运营商现在需要更积极地审查其批准逻辑。
目前,应将其视为针对交易机器人的定向漏洞利用,而非全网范围的安全事件。
本报告基于Blockaid提供的信息。
本文由新闻编辑部撰写,塞缪尔·雷编辑。
