加密货币生态系统中最成功和最具争议的 MEV(最大可提取价值)机器人之一 Jaredfromsubway.eth,在复杂的反 MEV 攻击中已被利用超过 750 万美元。
据区块链安全公司 Blockaid 称,该事件发生在周六,当时攻击者控制的智能合约欺骗了机器人的自动交易逻辑,授予代币批准——这些权限后来被用来耗尽其 ETH、USDC 和 USDT 的资金。
“这不是典型的网络钓鱼攻击,也不是受害者合约中的传统智能合约漏洞,”Blockaid 在 X(以前称为 Twitter)上表示。相反,这是一次反 MEV 蜜罐攻击,专门设计用于利用 MEV 机器人的信任最小化、逐利行为。
Blockaid 首席技术官 Raz Niv 解释说,在几周的时间里,攻击者部署了66 个虚假代币合约,模仿 Wrapped ETH (WETH)、USDC 和 USDT 等合法资产。这些与欺骗性的流动性池相结合,旨在表现为高利润的套利机会——像 Jaredfromsubway.eth 这样的 MEV 机器人被编程为抢先交易的确切类型。
该机器人按照其核心逻辑行事,批准了由攻击者控制的助手合约,从而有效地移交了对其资金的访问权。 “具有讽刺意味的是,在这个过程中,它为攻击者提供了机器人金库中数百万美元的钥匙,”尼夫说。在单笔交易中,攻击者触发了全部 66 个后门,并从受损地址中席卷了资产。
链上数据显示,部分被盗资金已经通过加密货币混合服务Tornado Cash转移,这使得追回工作变得更加复杂。
Jaredfromsubway.eth 长期以来一直是以太坊 MEV 领域的主导力量。据 Cointelegraph Research 称,2024 年 11 月至 2025 年 10 月期间,该机器人与大约70% 的三明治攻击有关,每月发生 60,000 至 90,000 起此类攻击,预计每年给交易者造成 6000 万美元的损失。
该机器人的恶名甚至波及了以太坊联合创始人 Vitalik Buterin,他在 5 月份被 Jaredfromsubway.eth 夹在中间,交换 26,544 个 DigitalBits(当时价值约 2.11 美元)。尽管损失很小,但该事件凸显出任何交易(即使是很小的交易)都无法免受 MEV 的利用。
加密货币评论员 David Gokhshtein 讽刺地说道:“我们不应该对此感到高兴;没有人应该庆祝......但如果你曾经被这个夹在中间......我很确定你不会对此消息感到不安。”