据区块链安全公司 Blockaid 称,臭名昭著的以太坊 MEV(最大可提取价值)机器人 JaredFromSubway 在复杂的链上蜜罐陷阱中损失了约 750 万美元。攻击者利用机器人自身的攻击性交易逻辑来消耗资金,而不依赖于智能合约错误、网络钓鱼或私钥泄露等传统攻击媒介。
JaredFromSubway 机器人因执行高频三明治攻击而臭名昭著,即提前运行和反向运行用户交易以从价格滑点中获利,它被欺骗批准模仿合法资产(例如 Wrapped Ether (WETH)、USD Coin C 和 Tether (USDT))的恶意合约代币配额。
在几周的时间里,攻击者部署了 66 个伪造的代币合约,旨在作为有利可图的套利机会。该机器人会扫描以太坊内存池中是否存在利润丰厚的交易,并自动批准这些诱饵合约的支出权。仅一项此类批准就授予攻击者对超过 92 WETH 的控制权。然后,最终的恶意合约利用这些预先批准的配额从机器人的钱包中吸走实际资产,包括 WETH、USDC 和 USDT。
这种“反向 MEV”策略使机器人的速度和寻求利润的自动化与自身相悖。类似的策略以前也曾被使用过;据报道,2023 年,一个流氓验证器使用类似方法从其他 MEV 机器人那里窃取了约 2500 万美元。
虽然 Blockaid 和 PeckShield 估计损失为 750 万美元,但该机器人运营商声称实际损失接近 1500 万美元,并悬赏 100 万美元以返还被盗资金。现在的恢复取决于攻击者是否选择接受赏金。
诸如 JaredFromSubway 执行的三明治攻击长期以来一直受到批评,因为它给零售交易者带来了隐性成本,实际上对去中心化交易所交易征收了隐形税。