JaredFromSubway.eth 是 以太坊 (ETH) 上最臭名昭著的“三明治攻击”机器人之一,攻击者将其自动交易逻辑反向利用后,席卷走了超过 750 万美元。
要点:
- 当交易自动化系统批准了由攻击者控制的合约时,JaredFromSubway.eth 损失了超过 750 万美元。
- 攻击者在数周时间里布下 66 个假代币和虚假流动性池,引诱该机器人上钩。
- 部分被盗资金已流入 Tornado Cash,攻击者身份仍然未知。
JaredFromSubway.eth 落入蜜罐陷阱被掏空
没有任何代码被攻破。
周六,这个机器人被清空——它的自动化系统为由攻击者控制的合约批准了代币支出,相当于把自己的金库钥匙拱手送出。安全公司 Blockaid 标记 了这一事件,排除了网络钓鱼骗局以及受害合约本身存在可被直接利用缺陷的可能性。
Blockaid 的首席技术官 Raz Niv 将 这次行动描述为一次“反 MEV 蜜罐”——一种专门用来利用自动交易者所依赖的“最小信任逻辑”的陷阱。它正是冲着这个机器人天生追逐的目标而来。
在几周时间里,攻击者部署了 66 个伪造代币,复制了 Wrapped Ether、USDC (USDC) 和 Tether (USDT) 的名称,然后将它们配对到虚假的流动性池中。这些池子在外观看起来是轻松套利机会,正是这种利润空间,让该机器人持续在内存池中扫描、并在每个区块里抢先交易。一笔交易就扫走了这三类资产。
延伸阅读: XRP 在 14.4 亿美元 ETF 需求与抛压间迎来杠杆考验
MEV 机器人面临“信任困境”
这次反杀格外刺痛人,因为该机器人自 2023 年起运行,一直是加密圈最招人厌的“印钞机”之一,据称从毫不知情、只看到自己兑换成功的交易者身上,累计攫取了数千万美元 收益。
其运营者长期位列以太坊“燃气费大户”之中,有时单日就会烧掉两百多个以太币,只为抢在每个区块最前排的位置。
研究人员将大约 70% 的以太坊三明治攻击都归因于这个机器人,这类做法每年据估计要让全网交易者付出约 6000 万美元甚至更多的成本。几乎没有人对它感到同情。三明治机器人会在一笔待执行交易前后各插入一笔自己的订单,通过自己制造的价差来获利——这对普通用户来说就像一项隐形税,他们往往根本察觉不到。
加密投资者 David Gokhshtein 提醒大家不要过度庆祝,但也承认,任何曾被该机器人“三明治”的人,现在恐怕都很难对它感到怜悯。截至目前,部分被盗资金已经通过 Tornado Cash 转移。
这次被掏空为其长期激进的运行画上了一个重重的句号。5 月,这个机器人曾在一笔小额代币兑换中夹击以太坊联合创始人 Vitalik Buterin,表明就连头部钱包也早已被它盯上——哪怕那次损失本身并不大。周六的损失则是这个运行了两年多、期间几乎未曾受挫的操作所遭遇的罕见且代价高昂的失败,调查人员仍在追踪剩余资金的去向。
下篇阅读: Why Did Trump Ease His Anthropic Threat View After G7?





