Jaredfromsubway.eth,這是加密貨幣界最成功的 MEV 搶劫機器人之一,遭到清空,損失超過 $7.5 million。原因是一名攻擊者將該機器人的自動執行邏輯反過來用在它身上。這起攻擊採用反 MEV 資損陷阱(counter-MEV honeypot)方法論:透過誘騙機器人,其自動化決策系統在向攻擊者可控合約授權代幣核准(token approvals)後,再被用來從機器人的資金金庫中掏空。MEV 機器人會監控待處理的區塊鏈交易,並試圖透過控制交易排序來獲利,常見方式包括三明治攻擊(sandwich attacks)以及以太坊上的其他最大可抽取價值(maximal extractable value)策略。
這起事件對於一個已與以太坊三明治攻擊密切掛鉤的機器人而言,標誌著罕見的公開挫敗。對 DeFi 使用者來說,MEV 機器人的活動可能就像是附著在鏈上交易上的看不見成本。
攻擊者部署反 MEV 資損陷阱,使用 66 個假代幣合約
這起攻擊並不依賴標準釣魚流程,也不涉及該機器人智慧合約中的直接漏洞。相反地,由攻擊者控制的合約騙過了 Jaredfromsubway.eth 的自動化系統,使其授權代幣核准,這些核准後來被用來從該機器人的金庫掏空資金。
「這不是典型的釣魚攻擊,也不是受害合約中的傳統智慧合約漏洞,」Blockaid 表示。
在數週之間,攻擊者部署了 66 個假代幣合約,這些合約複製了 Wrapped ETH、USDC 和 USDT 的名稱與介面。隨後,這些假代幣被配對到假流動性池,以設計成看起來像是有利可圖的交易機會。
Blockaid 首席技術官 Raz Niv 將此事件描述為反 MEV 資損陷阱。「這是一種反 MEV 資損陷阱攻擊,它特別針對了 MEV 機器人所使用的自動化、降低信任的決策邏輯,」他說。
當 Jaredfromsubway.eth 與這個假環境互動時,它批准了攻擊者可控的協助合約,以代表它花用真實資產。這些核准(approvals)為攻擊者打開了通往該機器人金庫的路徑。
「諷刺的是,在過程中,它等於把通往價值數百萬美元的機器人金庫的鑰匙交給了攻擊者,」Niv 說。
接著,攻擊者執行了一筆呼叫全部 66 個後門(backdoors)的單一交易,從受影響的地址掃走 ETH、USDC 與 USDT。鏈上數據顯示,其中部分被盜資金後來被轉送到 Tornado Cash,這是一種常用來掩飾資金流動的加密貨幣混幣服務。
Jaredfromsubway.eth 與 2024 年 11 月至 2025 年 10 月間 70% 的三明治攻擊相關
Jaredfromsubway.eth 長期以來都是以太坊上 MEV 活動最具能見度的代表之一。研究估計,以太坊上的三明治攻擊每年造成交易者約 6,000 萬美元的損失。根據報導,2024 年 11 月至 2025 年 10 月期間,每月的三明治攻擊數量約介於 60,000 到 90,000 起,其中約 70% 與 Jaredfromsubway.eth 相關。
在多數 DeFi 駭客事件中,受害者通常是使用者或協議本身。這一次,目標是一個被廣泛認為是從一般交易者身上擷取價值的機器人。這起事件並不能消除更廣泛的 MEV 問題,但它顯示,當用來捕捉獲利的同一套自動化機制與敵意合約互動時,也可能造成高度集中的風險暴露。
這起攻擊也凸顯:機器人會產生可預測的行為模式,而攻擊者能夠研究這些模式。當這些模式涉及核准、路由邏輯或對未知合約的重複互動時,機器人本身就可能成為攻擊目標。
以太坊聯合創始人 Vitalik Buterin 先前就曾被 Jaredfromsubway.eth 進行三明治攻擊,當時他在交換少量 DigitalBits,顯示即使是低價值交易也可能被 MEV 系統鎖定。損失很小,但這個例子也呈現出這些機器人可以多麼不分青紅皂白地出手。
加密投資人與評論者 David Gokhshtein 用直白的說法來定義公眾反應。「我們不該為此感到高興;也沒有人應該去慶祝……但如果你曾經被這種攻擊夾過(sandwiched)……我很確定你不會因為這則消息而不安,」他說。
Blockaid CTO 將攻擊描述為針對自動化、降低信任的決策邏輯
攻擊者圍繞該機器人的自身誘因模型打造了一個陷阱。MEV 機器人被設計用來快速辨識並執行獲利機會,且需經人類審查的程度有限。在這次事件中,這種自動化決策反而成為攻擊的切入面。
Blockaid 首席技術官 Raz Niv 表示,此事件特別針對了 MEV 機器人所使用的自動化、降低信任的決策邏輯。這種佈置讓機器人看到看起來值得追逐的交易,因而使其授予核准,最終讓攻擊者取得了可動用價值數百萬美元的機器人金庫資源。
這起事件很可能促使 MEV 經營者檢視自動化系統如何處理核准(approvals)、代幣驗證以及流動性池驗證。僅靠假代幣名稱與熟悉的介面,並不足以建立信任,尤其是在機器人以極快速度運作、幾乎沒有空間進行人工檢查的情況下。
FAQ
Jaredfromsubway.eth 這個 MEV 機器人發生了什麼?
Jaredfromsubway.eth 在遭遇一名攻擊者使用反 MEV 資損陷阱攻擊後,被清空損失超過 $7.5 million。攻擊者在數週內部署了 66 個假代幣合約,模仿 Wrapped ETH、USDC 與 USDT,從而騙過機器人,讓它向攻擊者可控合約授權代幣核准。接著,攻擊者執行一筆呼叫全部 66 個後門的單一交易,以從該機器人金庫掃走資金。
有多少 MEV 活動與 Jaredfromsubway.eth 相關?
根據報導,2024 年 11 月至 2025 年 10 月期間,以太坊上的三明治攻擊每月約介於 60,000 到 90,000 起,其中約 70% 與 Jaredfromsubway.eth 相關。研究估計,以太坊上的三明治攻擊造成交易者每年約 6,000 萬美元的損失。
Blockaid 對攻擊手法說了什麼?
Blockaid 表示,這不是典型的釣魚攻擊,也不是受害合約中的傳統智慧合約漏洞。Blockaid 首席技術官 Raz Niv 將此事件描述為反 MEV 資損陷阱攻擊,該攻擊特別針對 MEV 機器人所使用的自動化、降低信任的決策邏輯。
