JaredFromSubway MEV 机器人陷入 750 万美元的审批陷阱

根据 Blockaid 的说法，在攻击者使用使其自动交易系统授予代币批准的合约后，以太坊著名的 MEV 机器人 JaredFromSubway 被耗尽。

该安全公司表示，该事件不是正常的网络钓鱼案件，也不是受害者合同中的直接错误。 

“这不是典型的网络钓鱼攻击，也不是受害者合约中的传统智能合约漏洞，”Blockaid 表示。 

该公司表示，该机器人在看似有利可图的 MEV 交易路线上批准了攻击者控制的合同。

Blockaid 表示审批仍处于开放状态

Blockaid 表示，攻击者首先测试了立即使用批准的路线，没有留下任何开放津贴。后来，攻击者改变了路线设计，因此机器人给出了未花费或撤销的批准。

Blockaid 引用的一个例子涉及向攻击者助手合约批准约 92.16 WETH。该交易的 Etherscan 数据 显示 jaredfromsubway.eth 在后来的扫描之前与其 MEV Bot 2 合约进行交互。交易记录还显示 ERC-20 移动与同一自动化路线相关。

最终横扫 WETH、USDC 和 USDT

最终交易使用公开批准通过transferFrom从JaredFromSubway MEV机器人合约中提取WETH、USDC和USDT。 Etherscan 显示从“jaredfromsubway: MEV Bot 2”到以 0x3e37 开头的攻击者钱包的转账。

Blockaid 估计流失金额约为 750 万美元。 JaredFromSubway 帐户后来声称损失为 1500 万美元，并悬赏 100 万美元以全额返还资金。在审查的公开帖子中尚未充分解释这种差异。

攻击者如何利用机器人的逻辑来对抗它

这次攻击似乎针对的是机器人自己的交易工作流程。 MEV 机器人观察以太坊活动并对看起来有利可图的交易采取行动。在这种情况下，攻击者控制的合约使该路线看起来足够有用，足以让机器人批准支出权。

攻击者使用了 66 个虚假代币合约，复制了 WETH、USDC 和 USDT 的外观和功能。这些合约与虚假的流动性池配对。该设置将机器人推向批准，后来成为流失的路径。

JaredFromSubway 的记录重新成为焦点

JaredFromSubway 是以太坊最受关注的三明治机器人之一。在三明治攻击中，机器人会在用户交换之前和之后进行交易。当机器人捕获点差时，这可能会给用户带来更糟糕的价格。

正如 crypto.news 之前报道的那样，JaredFromSubway 在 4 月份瞄准了以太坊联合创始人 Vitalik Buterin 的小额互换，在 SushiSwap 和 Uniswap V2 上使用了约 114 万美元的 WETH 交易量。 Crypto.news 还在 2023 年报道，该机器人在 24 小时内使用了 455 ETH 的 Gas，约占该期间以太坊 Gas 使用量的 7%。

该漏洞现在将注意力集中在自动化系统使用的令牌批准上。该案例展示了当审批控制薄弱时，为对公开市场数据快速采取行动而构建的系统如何会被引导至不安全的权限。它还为有关 MEV、三明治交易和以太坊用户保护的更广泛辩论增添了新篇章。

目前，关键的公开细节仍然分为 Blockaid 的技术线索、链上记录和 JaredFromSubway 账户的帖子。在审核的更新中尚未确认恢复。