攻击者通过诱导以太坊最活跃的三明治攻击 MEV 机器人之一 JaredFromSubway 错误授权代币支出,成功盗取约 750 万美元资金。
安全公司 Blockaid 率先披露该事件,表示此次攻击并非由于智能合约漏洞、钓鱼攻击或私钥泄露导致,而是黑客巧妙利用了该机器人自身追求利润的自动化逻辑。
MEV 机器人是如何中招的?
JaredFromSubway MEV 机器人通过自动策略不断扫描以太坊网络中的交易内存池,寻找可获利机会。这一做法被称为最大可提取价值(MEV)。
该机器人通过“前置交易”和“后置交易”方式,捕捉价格变动区间,实施三明治攻击,从而赚取差价。
2023 年 4 月,该机器人曾因其高频操作一度声名大噪,仅一天就燃烧了超 100 万美元的 GAS 费,占据当日以太坊 GAS 消耗总额的近 8%。
攻击者连续数周部署了 66 个仿冒代币合约,这些“假币”冒充了 Wrapped Ether(WETH)、USD Coin(USDC)和 Tether(USDT)。
对机器人而言,这些伪造合约与其惯常追逐的套利路径如出一辙。机器人因此上钩,授权攻击者控制的辅助合约获得代币支配权限。仅一次授权就直接让对方掌控了 92 枚 WETH 的支出权限。
最终,攻击者利用这些开放的授权额度,通过合约操作,将机器人账户中的真实资金一网打尽。
MEV 反向陷阱曝光
这一“反向陷阱”把机器人的高频和激进策略变成了致命弱点。锁定并猎杀 MEV 机器人早已不是新鲜事。2023 年,一名作恶验证者就通过类似方式从多台三明治 MEV 机器人手中盗走约 2,500 万美元。
“黑客通过其控制的合约诱骗自动化 MEV 执行系统授权代币转账,并随后利用这些授权转移资金。”Blockaid 指出。
像三明治攻击这样的操作长期以来被外界诟病,认为其无形中加重了普通投资者的交易“隐形税”负担。
该机器人运营方表示,损失规模接近 1 500 万美元。同时,他们悬赏 100 万美元,征集资金归还的线索。区块安全机构 Blockaid 和 PeckShield 分析认为,链上实际被盗的 $WETH、$USDC 和 $USDT 总额约为 750 万美元。
目前,是否能够追回部分资产,很大程度上取决于攻击者是否愿意接受这项悬赏协议。
