根據 Blockaid,Jaredfromsubway.eth 是加密貨幣最成功的 MEV 機器人之一,最近在遭到攻擊者利用該機器人的自動化執行邏輯後,資金被掏空超過 750 萬美元。攻擊者部署了 66 個假代幣合約,模仿 Wrapped ETH、USDC 和 USDT,並搭配偽造的流動性池,目的是讓其看起來像是獲利的交易機會。當機器人與這些合約互動時,它會授予對攻擊者控制的輔助合約的授權,從而使攻擊者得以存取其金庫。
Blockaid 執行長 Raz Niv 將此次事件描述為一種針對 MEV 機器人所依賴的信任最小化決策邏輯的反 MEV 蜜罐攻擊。接著,攻擊者執行了一筆單一交易,同時呼叫所有 66 個後門,從受影響地址中掃走 ETH、USDC 和 USDT。部分被盜資金後來被轉送至 Tornado Cash,這是一種加密貨幣混幣服務。此次漏洞顯示:為了利用市場低效率而設計的高獲利自動化,當攻擊者理解機器人的行為模式與授權機制時,反而也可能變得脆弱。
