以太坊鏈上惡名昭彰的三明治攻擊機器人 JaredFromSubway,遭攻擊者以 66 個仿冒代幣合約設計蜜罐,利用其自動逐利邏輯誘騙機器人授予代幣支出許可。設計者本人稱總損失接近 1,500 萬美元,並開出 100 萬美元懸賞換回資金。
(前情提要:Vitalik 新定位以太坊為「庇護技術」,三大機制讓鏈上審查走入歷史)
(背景補充:GMGN 如何交易小課堂:Gas、優先費、滑點、MEV)
專門對散戶「徵稅」維生的 MEV 機器人,這次換自己被人當散戶收割了。以太坊鏈上知名的三明治攻擊機器人 JaredFromSubway,近日遭一名攻擊者精心設計的逆向陷阱清空約 750 萬美元的 WETH、USDC 與 USDT。
安全公司 Blockaid 第一時間標記此事件,強調漏洞並非來自智能合約程式碼缺陷、網路釣魚或私鑰外洩,而是攻擊者把機器人自身的貪婪邏輯武器化,反過來對付它。
66 個假合約,幾週布局一擊得手
攻擊者的準備工作長達數週。他陸續部署了 66 個仿冒代幣合約,外觀精準模擬 Wrapped Ether(WETH)、USD Coin(USDC)與 Tether(USDT)三種主流資產。
JaredFromSubway 的核心邏輯是持續掃描以太坊記憶體池,自動辨識並跟進高流動性代幣的套利路徑。這些假合約在機器人眼中與真實路徑毫無二致,它如往常一樣「嗅到」機會,隨即批准向攻擊者控制的輔助合約支出代幣。
Blockaid 指出:「攻擊者控制的合約誘騙了自動 MEV 執行系統,使其授予代幣授權,這些授權事後被用於提領資金。」僅單筆授權就交出超過 92 WETH。最後一個合約利用這些已開放的授權,一次性掃光機器人錢包內的真實資產。鏈上交易可於 Etherscan 查閱。
從「收割機」變「被收割者」
JaredFromSubway 自 2023 年初活躍以來,已執行數十萬次三明治攻擊,收益高峰期毛收入估達 3,400 至 4,000 萬美元。在 MEV 最猖獗的時期,以太坊全網每月約有 70% 的三明治攻擊來自這支機器人。
它的惡名甚至蔓延到 Vitalik Buterin 本人身上,2026 年 5 月,JaredFromSubway 對 Vitalik 的代幣兌換執行三明治攻擊,動用逾 114 萬美元 WETH 進行夾擊。
如今這場翻轉頗具「Karma」意味:這支機器人的競爭優勢正是速度與攻擊性,而攻擊者恰恰把這兩點變成弱點,機器人反應越快,就越早掉進陷阱。
類似的「獵殺 MEV Bot」事件並非首次。2023 年曾有一名惡意驗證者利用相同邏輯,從多支三明治機器人手中抽走約 2,500 萬美元;這次的手法則更加精密,以數十個假合約代替單點突破。
損失數字存疑,百萬懸賞能換回資金嗎?
Blockaid 與 PeckShield 的鏈上分析均將損失定在約 750 萬美元。不過 JaredFromSubway 設計者在事後聲稱,若計入非直接鏈上可見的部分,總損失接近 1,500 萬美元。目前他已開出 100 萬美元賞金,條件是攻擊者歸還資金。
但從歷史上來看,能要回這筆錢的機率,目前來說並不高。
📍相關報導📍
科普 | 號稱以太坊「黑暗森林」的 MEV 礦工可提取價值是什麼?
