Bot MEV của Ethereum JaredFromSubway bị mất 7,5 triệu USD do khai thác lỗ hổng

jaredfromsubway 的運營方——一款知名的以太坊交易機器人——在週六因針對其交易授權系統的漏洞遭到攻擊，損失 750 萬美元。安全公司 Blockaid 表示，攻擊者使用假代幣與詐欺性的智慧合約，從該機器人中挪走了原本的合法資金。該漏洞發生在一個以進行三明治攻擊（在去中心化交易所中，透過圍繞待處理交易的下單來獲利、牽制他人利益）的機器人身上。

Attacker Exploited Approval Logic With Fake Tokens

Blockaid 解釋稱，攻擊者向 jaredfromsubway 提供了具誤導性的交易機會，隨後使得不法行為者得以抽走資金。該機器人設計為會持續掃描有利可圖的交易，並且偶爾會授權實體代表其移動資金以執行這些交易。根據 Blockaid 的說法，jaredfromsubway 參與的一些交易在完成後會立即撤銷這些權限，但攻擊者量身打造的交易則不會。「這讓由攻擊者控制的可支配方（spenders）獲得了武裝（armed）狀態，」Blockaid 在 X 貼文中表示。這一手法涉及假代幣與詐欺性智慧合約，利用了這種授權機制。

Operator Offers 50% Bounty and Threatens Legal Action

在週六攻擊後的一則鏈上訊息中，機器人運營方提供了「50% 白帽懸賞（50% white hat bounty）」，要求在 48 小時內歸還 2,150 枚以太幣（目前約值 370 萬美元）。運營方威脅稱，若資金未在該期限內歸還，將採取法律救濟並介入執法單位。

Stolen Funds Deposited to Tornado Cash

安全公司 PeckShield 在 X 貼文中指出，攻擊者在利用漏洞後開始掩蓋行蹤。攻擊者竊取 wrapped Ethereum 與穩定幣後，其中一部分資金被兌換，並部分存入 Tornado Cash——這是一種常見的資源，供試圖掩飾不法獲利資金流向的攻擊者使用。

FAQ

週六 jaredfromsubway 機器人發生了什麼？
根據安全公司 Blockaid 的說法，週六 jaredfromsubway 機器人因遭到攻擊而損失 750 萬美元。攻擊者使用假代幣與詐欺性的智慧合約，利用其交易授權邏輯。

攻擊後 jaredfromsubway 的運營方提供了什麼？
運營方提供了 50% 白帽懸賞，要求在 48 小時內歸還 2,150 枚以太幣（約 370 萬美元），並威脅若資金未被歸還，將追究法律行動並介入執法。