以太坊 MEV 机器人 JaredFromSubway 在利用事件中损失 750 万美元

以太坊知名交易机器人 jaredfromsubway 的运营方在周六遭遇利用该机器人交易授权系统的漏洞，损失了 750 万美元。安全公司 Blockaid 表示，攻击者使用伪造代币和欺诈性智能合约，从机器人中抽走了原本合法的资金。此次漏洞针对的是一款因实施“夹击攻击”（一种在去中心化交易所通过在待处理交易前后下单来获利、从而牺牲他人利益的市场操纵形式）而声名狼藉的机器人。

攻击者借助伪造代币利用授权逻辑

Blockaid 解释称，攻击者向 jaredfromsubway 展示了具有误导性的交易机会，随后使该恶意行为者得以转走资金。该机器人被设计为持续扫描盈利交易，并会在某些情况下向实体授予权限，以便其代表机器人移动资金来执行这些交易。根据 Blockaid 的说法，jaredfromsubway 执行的一些交易在完成后会立即撤销这些权限，而攻击者制作的交易则不会。“这使得攻击者控制的支出者随时待命，”Blockaid 在一则 X 帖子中表示。该方案通过伪造代币和欺诈性智能合约来滥用这一授权机制。

运营方开出 50% 悬赏并威胁采取法律行动

在周六攻击之后的一条链上消息中，机器人的运营方为在 48 小时内退还 2,150 以太坊（当前约合 370 万美元）提供“50% 白帽悬赏”。运营方威胁称，如果资金未在该时间范围内返还，将寻求法律救济并动用执法力量。

被盗资金存入 Tornado Cash

安全公司 PeckShield 在一则 X 帖子中指出，攻击者在漏洞利用之后开始掩盖行踪。在盗取了包装以太坊和稳定币后，部分资金被兑换，并部分存入 Tornado Cash——这是攻击者试图遮蔽非法收益资金流向时常用的资源。

常见问题（FAQ）

周六 jaredfromsubway 机器人发生了什么？
根据安全公司 Blockaid 的说法，周六 jaredfromsubway 机器人在一次攻击者利用其交易授权逻辑（使用伪造代币和欺诈性智能合约）之后，损失了 750 万美元。

漏洞利用之后，jaredfromsubway 运营方提供了什么？
运营方在 48 小时内为退还 2,150 以太坊（约合 370 万美元）开出 50% 的白帽悬赏，并威胁称若资金未返还，将采取法律行动并动用执法力量。