三明治机器人 Jaredfromsubway.eth 因其自身的交易逻辑损失750万美元 - Unchained

Jaredfromsubway.eth，以太坊上最臭名昭著的最大化提取价值（MEV）机器人之一，据安全公司Blockaid称，在一名攻击者将该机器人自己的交易逻辑反过来利用后，损失超过750万美元。

该机器人专为三明治攻击设计，这是一种在MEV中常见的类型，自动交易者检测到排队交易后，插在其前面，迫使受害者以更差的价格成交，然后立即平仓。Blockaid表示，这并不是一种常规的钓鱼方案或受害合约中的漏洞。在数周时间里，攻击者建立了假代币合约和虚假的流动性池，包括伪造的fWETH、fUSDC和fUSDT路由，以及与假fCAP代币配对的交易，这些都表现为有利可图的交易。

这个故事摘自Unchained Daily通讯。

在这里订阅，免费通过电子邮件获取这些更新

机器人将这些视为MEV机会，并授权攻击者控制的辅助合约进行支出批准。早期的测试路由立即消耗了这些批准，但后续的路由故意将其悬空，给攻击者打开了转移资金的门。根据Blockaid，机器人大约批准了92.16 WETH给一个攻击者辅助合约，最后一次操作利用开放的授权通过transferFrom提取了WETH、USDC和USDT。CoinDesk报道，部分收益后来通过Tornado Cash进行了转移。

三明治攻击每年给以太坊交易者带来约6000万美元的损失，其中大约70%可以追溯到自2023年初活跃的jaredfromsubway.eth。该机器人曾花费114万美元抢跑一次微不足道的Vitalik Buterin交换，仅获几美元利润。这次资金流失也与2023年的一次攻击相呼应，当时一名流氓验证者从三明治机器人中提取了2500万美元。

在6月22日的一条链上消息中，Jared钱包向攻击者提供了50%的白帽赏金，要求在48小时内归还2150 ETH，否则将采取法律和执法行动。

相关听力：“DeFi全部不安全吗”？你需要了解的链上资产持有知识