JaredFromSubway.eth 是 Ethereum (ETH) 上最臭名昭著的「三明治攻擊」機械人之一,最近因攻擊者反過來利用其自動交易邏輯,被掏空超過 750 萬美元。
重點摘要:
- JaredFromSubway.eth 的交易自動化流程批准了由攻擊者控制的合約,導致損失超過 750 萬美元。
- 攻擊者在數星期內部署了 66 隻假代幣和虛假流動性池,引誘機械人上鉤。
- 部分被盜資金已經經 Tornado Cash 轉移,攻擊者身份仍然不明。
JaredFromSubway.eth 掉進誘餌陷阱被掏空
沒有任何程式碼被直接攻破。
上周六,這個機械人的自動化系統替由攻擊者控制的合約批准代幣支出,相當於主動把金庫的鑰匙雙手奉上。安全公司 Blockaid 標示 了這宗事件,並排除了釣魚詐騙,以及被提走資金的受害合約本身存在缺陷的可能性。
Blockaid 的技術總監 Raz Niv 在接受訪問時 形容 這次行動是一個「反 MEV 蜜罐」,即專門針對自動交易者所依賴、以最小信任假設為基礎的邏輯而設的陷阱。攻擊者正是利用了這部機械人原本追逐的獵物。
在數星期內,攻擊者部署了 66 隻假代幣,仿冒 Wrapped Ether、USDC (USDC) 和 Tether (USDT) 等名稱,並為它們配上虛假的流動性池。這些池看起來像是輕鬆套利空間,正是這類機械人會在 mempool 中掃描、並在每個區塊內嘗試搶先交易的獲利機會。最終,一筆交易就把三種資產一掃而空。
延伸閱讀: XRP Faces Leverage Test As $1.44B ETF Demand Meets Sell-Off
MEV 機械人面對信任問題
這次翻車格外刺痛人心,因為這部機械人長期被視為加密市場中最惹人厭的「印鈔機」之一。自 2023 年運作以來,據報已從毫無察覺、只看見自己交易被「夾擊」的用戶身上,賺走了數千萬美元。
它的操作者一直是以太坊上最大的 Gas 消耗者之一,某些日子為了搶在每個區塊的最前排位置,單日就燒掉超過 200 枚 Ether。
研究人員估計,大約 70% 的以太坊三明治攻擊都與這部機械人有關,而這種做法每年可能讓全網交易者損失約 6,000 萬美元甚至更多。外界對其遭殃普遍難言同情。三明治機械人的做法,是先在一筆待確認交易之前插入自己的訂單,再在其後插入另一筆訂單,然後把自己製造出的價差據為己有,等同向一般用戶無形徵稅,而多數人甚至察覺不到。
加密投資者 David Gokhshtein 雖然提醒大家不要過度慶祝,但也坦言,凡是曾被這部機械人「夾擊」過的人,現在大概都很難對其遭受的損失感到惋惜。部分被盜資金已經經 Tornado Cash 轉移。
這次掏空事件為這部機械人長期而激進的操作劃上了一個暫時句號。今年 5 月,這部機械人在一次小額代幣兌換中「夾擊」了以太坊聯合創辦人 Vitalik Buterin,顯示即使是頂級錢包也早已落入其獵物清單之中,縱然實際金額不大。上周六的損失則是它在逾兩年的幾乎無人能撼的運作期間,少見且代價高昂的一次失手,而調查人員仍在追查餘下資金的去向。
下一篇閱讀: Why Did Trump Ease His Anthropic Threat View After G7?





