三明治機器人 Jaredfromsubway.eth 損失 750 萬美元，原因是其自身的交易邏輯 - Unchained

Jaredfromsubway.eth，是以太坊上最臭名昭著的最大化提取價值（MEV）機器人之一，根據安全公司Blockaid的說法，已損失超過750萬美元，原因是一名攻擊者將該機器人的交易邏輯反向利用。

該機器人是為三明治攻擊（sandwich attacks）而設計，這是一種在MEV中常見的策略，攻擊者會偵測到排隊的交易，插在其前面，迫使受害者以更差的價格成交，然後立即平倉。Blockaid表示，這並非傳統的釣魚攻擊或受害合約的漏洞。在數週內，攻擊者建立了假代幣合約和虛假的流動性池，包括偽造的fWETH、fUSDC和fUSDT路由，並配對假fCAP代幣，這些都被呈現為有利可圖的交易。

這個故事摘自Unchained Daily通訊。

點此訂閱，免費獲取這些更新到您的電子郵件

該機器人將這些視為MEV機會，並授予攻擊者控制的助手合約支出授權。早期測試路由立即消耗了這些授權，但後來的路由故意將其懸空，讓攻擊者可以利用這些開放的授權轉移資金。根據Blockaid的說法，該機器人批准了大約92.16 WETH給一個攻擊者助手合約，最後一輪操作則利用這些開放的授權，通過transferFrom提取了WETH、USDC和USDT。CoinDesk報導，部分收益後來經由Tornado Cash轉移。

三明治攻擊每年使以太坊交易者損失約6000萬美元，其中約70%可以追溯到自2023年初活躍的jaredfromsubway.eth。該機器人曾花費114萬美元提前交易一個微不足道的Vitalik Buterin交換，只獲得幾美元的利潤。這次資金流失也與2023年的一次攻擊相呼應，當時一名流氓驗證者從三明治機器人中提取了2500萬美元。

在6月22日的一則鏈上訊息中，Jared錢包向攻擊者提供了50%的白帽獎金，要求在48小時內返還2,150 ETH，否則將採取法律和執法行動。

相關聽力內容： 《所有DeFi都不安全嗎？你需要知道的鏈上資產持有資訊》