以太坊 MEV 机器人 JaredFromSubway 在漏洞利用中损失 750 万美元

以太坊知名交易机器人 jaredfromsubway 的运营者在周六遭遇一次针对该机器人交易授权系统的漏洞攻击后，损失了 $7.5 million。安全公司 Blockaid 表示，攻击者使用假代币和欺诈性智能合约，从该机器人中抽走了原本合法的资金。此次漏洞攻击发生在一款因实施“夹子攻击”（一种在去中心化交易所进行的市场操纵形式）而臭名昭著的机器人上——它通过在待处理交易周围发起交易来获利，从而损害他人利益。

攻击者用假代币利用了授权逻辑

Blockaid 解释称，攻击者向 jaredfromsubway 展示了具有误导性的交易机会，随后让幕后黑手得以抽走资金。该机器人被设计为持续扫描有利可图的交易，并偶尔会授予某些实体权限，使其能够代表机器人移动资金来执行这些交易。根据 Blockaid 的说法，jaredfromsubway 所参与的一些交易在完成后会立即撤销这些权限，而攻击者精心构造的交易则不会。“这让攻击者控制的花费方准备就绪，”Blockaid 在一条 X 帖子中表示。该方案涉及假代币和欺诈性智能合约，它们利用了这种授权机制。

运营者提供 50% 奖金并威胁采取法律行动

在周六攻击之后的一条链上消息中，机器人的运营者为在 48 小时内归还 2,150 Ethereum（约为 $3.7 million）提供“50% 的白帽赏金”。运营者威胁称，如果资金未在该时间范围内归还，将寻求法律救济并与执法部门联手。

被盗资金存入 Tornado Cash

安全公司 PeckShield 在一条 X 帖子中指出，攻击者在漏洞利用之后开始掩盖行踪。攻击者偷走包装的以太币以及稳定币后，部分资金被兑换并部分存入 Tornado Cash——这是攻击者试图掩饰非法收益资金流向时常用的资源。

FAQ

周六 jaredfromsubway 机器人发生了什么？ 根据安全公司 Blockaid 的说法，周六，攻击者使用假代币和欺诈性智能合约利用了 jaredfromsubway 机器人的交易授权逻辑，导致该机器人损失了 $7.5 million。

漏洞利用之后 jaredfromsubway 运营者提供了什么？ 运营者承诺为在 48 小时内归还 2,150 Ethereum（约为 $3.7 million）提供 50% 的白帽赏金，并威胁称如果资金未归还，将追究法律行动并牵涉执法部门。