根据链上安全公司 Blockaid 的数据,攻击者通过复杂的反 MEV 蜜罐攻击,成功耗尽了以太坊最多产的 MEV(最大可提取价值)机器人之一 jaredfromsubway.eth 约 750 万美元。
该漏洞发生在周六,当时机器人的自动化系统被欺骗,向攻击者控制的智能合约授予代币批准。这些批准后来在 UTC 18:49 的单笔交易中吸走了 1,474.58 WETH、287 万 USDC 和约 200 万 USDT。
Blockaid 确认该事件不是由于网络钓鱼、私钥泄露或主要 DeFi 协议中的漏洞造成的。相反,攻击者部署了 66 个模仿 WETH、USDC 和 USDT 的伪造代币合约,并与旨在表现为有利可图的套利机会的虚假流动性池配对,这是专门为引诱 jaredfromsubway 等 MEV 机器人而设计的策略。
根据匿名开发者 banteg 的取证报告,攻击者使用了“块武装开关”机制。在小型测试交易中,恶意合约表现正常,按预期消耗批准,甚至向机器人返还少量利润,从而增强了对机会的信任。然而,在较大的“武装”交易中,合约保留了机器人的代币批准,从而实现了最终的清除。
最终的消耗是通过协调器合约执行的,该合约同时在所有 66 个子合约中调用 withdraw 函数,提取机器人的全部批准余额并将其转发到攻击者的地址。
链上追踪器 Lookonchain 报告称,攻击者迅速将被盗资产转换为约 4,427 ETH(价值约 770 万美元),并将 1,000 ETH 存入 Tornado Cash(此前曾受到美国当局制裁的混合器)。
接收钱包被识别为 EIP-7702 委托帐户,这是以太坊即将推出的 Pectra 升级(计划于 2025 年)中引入的功能,它允许标准 EOA 执行合约代码,这可能会使归属变得复杂。
与此同时,一个名为 @jaredsmev 的未经验证的 X 帐户自称代表该机器人,宣布损失 1500 万美元,并悬赏 100 万美元用于追回资金。然而,链上分析师和社区成员普遍认为该帐户是冒充者。该个人资料已更改用户名八次,并包含促销内容,包括代币托儿和虚假赠品。没有可靠消息来源或安全公司证实损失超过 750 万美元。
jaredfromsubway 机器人——以名誉扫地的前 Subway 发言人 Jared Fogle 命名,是其“夹心”交易策略的暗双关语——自 2023 年初以来一直是以太坊 MEV 生态系统的主导力量。其“Jared 2.0”迭代在 2024 年处理了超过 85,000 笔交易,并一度被评为以太坊每日 Gas 支出最高者。值得注意的是,2024 年 5 月,以太坊联合创始人 Vitalik Buterin 进行了一次微不足道的互换,部署了超过 114 万美元的 WETH,以获取微薄的利润,这一举动引起了广泛的批评。
截至发稿时,攻击者的身份仍然未知,也不清楚其他机器人或资金是否使用类似策略成为攻击目标。