JaredFromSubway.eth,以太坊 (ETH) 上最臭名昭著的夹子攻击机器人之一,在攻击者反过来利用其自身的交易自动化后,被卷走了超过 750 万美元。
要点:
- 当其交易自动化批准了攻击者控制的合约后,JaredFromSubway.eth 损失了超过 750 万美元。
- 攻击者在数周内布下 66 个假代币和虚假的流动性池来诱骗该机器人。
- 部分被盗资金已流向 Tornado Cash,攻击者身份仍然未知。
JaredFromSubway.eth 落入蜜罐陷阱被洗劫
没有代码被攻破。
该机器人在周六被清空,因为其自动化系统为攻击者控制的合约批准了代币支出权限,相当于把自己的金库钥匙拱手相让。安全公司 Blockaid 指出了这起事件,并排除了网络钓鱼诈骗以及受害者合约本身存在漏洞的可能性。
Blockaid 首席技术官 Raz Niv 将这次行动描述为一种反 MEV 蜜罐陷阱,旨在利用自动交易者悄然依赖的、以最小信任为基础的逻辑。攻击目标正是该机器人本来要追逐的东西。
在数周时间里,攻击者布下了 66 个假冒代币,仿冒了 Wrapped Ether、USDC (USDC) 和 Tether (USDT) 的名称,并将它们与伪造的流动性池配对。这些池子看起来像是轻松套利的机会,正是机器人会扫描内存池去寻找并在每个区块中抢先交易的那类利润。一笔交易将这三者一并扫走。
另请阅读: XRP 面临杠杆考验,14.4 亿美元 ETF 需求遭遇抛售
MEV 机器人面临信任问题
这次反转之所以刺痛,是因为该机器人位列加密领域最令人反感的获利机器之一,自 2023 年以来持续运行,据称从那些在交易成交前后被夹击的交易者身上攫取了数千万美元。
它的运营者长期位列以太坊最重的 gas 消耗者之列,曾有时一天内就烧掉超过 200 个 Ether,只为在每个区块最前面抢占位置。
研究人员估计,以太坊上约 70% 的夹子攻击都与该机器人有关,这种做法每年给全网交易者造成约 6000 万美元或更多的损失。几乎没人表示同情。夹子机器人会在待处理交易前插入一笔订单、在其后再插入另一笔,然后把由此制造出的价差装进口袋,相当于对普通用户征收一种几乎看不见的“税”,而他们往往毫无察觉。
加密投资者 David Gokhshtein 警告不要幸灾乐祸,不过也承认,任何曾被这台机器人夹击过的人,如今恐怕都很难对它心生怜悯。部分被盗资金已经通过 Tornado Cash 转移。
这次清空为其漫长而激进的运行画上了句号。5 月,该机器人在一次小额代币兑换中夹击了以太坊联合创始人 Vitalik Buterin,这表明即便是知名钱包也已被它盯上,尽管那次损失很小。周六的损失标志着这项持续两年多、基本未受挑战的操作罕见而代价高昂的失败,而调查人员仍在追踪其余资金的去向。