以太坊的 Jaredfromsubway MEV 機器人批准自己 750 萬美元盜款後被洗劫一空

與Jaredfromsubway MEV機器人相關聯，約佔以太坊三明治攻擊的70%，在其自動化系統授權攻擊者控制的合約支出其代幣後，損失超過750萬美元的授權耗盡。

該機器人，名為Jaredfromsubway.eth，批准了一系列看似屬於有利可圖交易路徑的交易。這些權限仍然有效，允許攻擊者從與操作相關的合約中移除包裹以太幣和兩種主要的穩定幣。

這起事件實質上使以太坊最大的一個提取交易系統批准了自己的盜竊行為。它也突顯了自動交易者面臨的漏洞，這些交易者必須在幾秒內評估市場、授權合約並執行交易。

鏈上安全公司Blockaid表示，攻擊者並未入侵機器人的私鑰或利用廣泛使用的去中心化金融協議中的漏洞。相反，這次操作針對的是機器人用來識別和追求潛在利潤的規則。

相關閱讀

24小時內佔據以太坊網絡總氣體的7%的MEV機器人

根據ultrasound.money的數據，該機器人的交易在此期間推高了以太坊網絡的Gas費用。

2023年4月19日 · Oluwapelumi Adejumo

Jaredfromsubway.eth是如何被耗盡的

根據Blockaid，攻擊者花了數週時間部署模仿的代幣、流動性池和支持合約，這些都類似於機器人可能會進行交易的市場。

這些假資產包括包裹以太坊、USDC和USDT的版本，通過設計用來產生有利信號的交易路徑配對。Jaredfromsubway.eth偵測到這些路徑，並按照其通常的流程允許助手合約移動代幣，作為預期交易的一部分。

一些早期交易如預期般使用了這些權限，幫助建立了機器人系統持續接受的模式。後來的交易則未使用這些批准。

Jaredfromsubway.eth MEV機器人是如何被耗盡的（來源：Doug Colkitt）這一區別為攻擊者提供了通過ERC-20批准的機會，該批准允許另一個地址或智能合約花費授權帳戶的指定數量的代幣。

除非耗盡、減少或撤銷，否則該權限可以一直有效。

一旦攻擊者累積了足夠的未使用授權，合約便利用ERC-20的transferFrom功能，將真實的WETH、USDC和USDT從機器人的帳戶轉移出來。

鏈上記錄顯示，從與機器人相關的合約多次轉移約92個WETH、14萬3千美元的USDC和14萬9千美元的USDT。這些資金被導向攻擊者控制的地址。

CryptoSlate每日快訊

每日信號，零噪音。

每天早晨傳遞市場動向和背景資訊，一篇精煉。

5分鐘速讀 超過10萬讀者

免費。無垃圾郵件。隨時取消訂閱。

哎呀，似乎出了點問題。請再試一次。

您已訂閱。歡迎加入。

Yearn Finance開發者Banteg描述最後的操作為授權耗盡，而非傳統的代幣交換。一個協調合約調用數十個子合約的提款功能，該合約會檢查機器人的餘額及剩餘的權限，然後轉移可用的代幣。

部分收益隨後被送往Tornado Cash，一個可以使資金更難追蹤的加密貨幣混合服務。

一個主導的三明治操作者成為目標

Jaredfromsubway.eth自2023年起運作，成為以太坊最大化提取價值（MEV）市場中最突出的參與者之一。

MEV指的是通過改變區塊鏈交易處理順序產生的收入。在三明治攻擊中，機器人識別待處理的交易，先買入資產，推高其價格。然後用戶的交易在較不利的價格下執行，機器人再賣出，賺取差價。

這使得Jaredfromsubway.eth在同一自動化成為其資金來源之前，成為以太坊最知名的三明治攻擊機器人之一。

對個別交易者的損失可能很小，但在數萬筆交易中，這種策略可以產生可觀的收入，同時增加交易成本和網絡費用。

據報導，這些攻擊每年對交易者造成約6000萬美元的成本，而約70%的損失與一個被稱為Jaredfromsubway.eth的操作者相關。