loading...
据安全机构 Blockaid 披露,以太坊上知名的 MEV 机器人 JaredFromSubway 被攻击者利用合约诱导其自动交易系统授予代币授权,进而遭遇资金盗取。攻击者通过控制合约,诱使 JaredFromSubway 的自动化系统授予了后续用于盗取资金的代币授权。
JaredFromSubway 公开声称损失达 1500 万美元,而 Blockaid 公开预估的损失约为 750 万美元。此前有报道将 JaredFromSubway 与 2023 年 Vitalik Buterin 的兑换交易及以太坊高额 Gas 消耗事件联系起来。
安全机构强调,此次事件并非普通的钓鱼攻击,也非受害者合约的直接漏洞。Blockaid 表示:“这不是典型的钓鱼攻击,也不是受害者合约中传统的智能合约漏洞。” 该机构指出,机器人在看似有利可图的 MEV 交易路径中,批准了攻击者控制的合约。
Blockaid 进一步说明,攻击者首先测试了授权即时使用的路径,未留下任何未消耗的授权额度。随后,攻击者改变了路径设计,使得机器人授予了未被使用或撤销的授权。其中一个案例显示,机器人向攻击者的辅助合约批准了约 92.16 枚 WETH 的授权。
最终交易利用这些未关闭的授权,通过 transferFrom 函数从 JaredFromSubway 的 MEV 机器人合约中提取了 WETH、USDC 和 USDT。从链上记录可见,相关代币从“jaredfromsubway: MEV Bot 2”转移至以 0x3e37 开头的攻击者钱包。Blockaid 将盗取金额定为约 750 万美元。而 JaredFromSubway 的账户随后声称损失为 1500 万美元,并悬赏 100 万美元寻求全额追回资金。目前公开信息中尚未完全解释这一差额。
此次攻击似乎瞄准了机器人自身的交易流程。MEV 机器人监控以太坊活动,并对看似有利可图的交易做出反应。在本案例中,攻击者控制的合约使交易路径看起来足够有利可图,从而诱使机器人授予花费权限。攻击者使用了 66 个假冒代币合约,这些合约复制了 WETH、USDC 和 USDT 的外观与功能,并与虚假的流动性池配对。这种设置推动机器人进行授权,而该授权随后成为盗取资金的通道。
JaredFromSubway 是以太坊上最受关注的夹子机器人之一。在夹子攻击中,机器人在用户交易前后分别下单,导致用户获得更差的交易价格,而机器人则赚取价差。此前有报道称,该机器人在 2023 年 4 月曾针对以太坊联合创始人 Vitalik Buterin 的一笔小额兑换交易,在 SushiSwap 和 Uniswap V2 上投入约 114 万美元的 WETH 进行夹子操作。另有报道指出,该机器人在 2023 年曾于 24 小时内消耗 455 枚 ETH 作为 Gas,占当时以太坊 Gas 使用量的约 7%。
此次攻击事件将焦点再次投向自动化系统使用的代币授权问题。该案例表明,一个为快速响应公开市场数据而构建的系统,若在授权控制方面薄弱,可能被诱导授予不安全的权限。这也为当前关于 MEV、夹子交易以及以太坊用户保护的广泛讨论增添了新的篇章。目前,公开的关键信息主要来自 Blockaid 的技术分析、链上记录以及 JaredFromSubway 账户发布的帖子。暂无追回资金的确认消息。
904
558
280
250
977
667
456
479
531
585
