區塊先生 🐡 ⚠️ (rock #58)|2026年06月21日 02:12
🚨 JaredFromSubway MEV Bot 被 攻擊!
👉🏻背景:
JaredFromSubway 是以太坊上最惡名昭彰的 MEV sandwich bot,從 2023 年開始活躍,專門靠監控 mempool 做三明治攻擊(先插隊買、後面賣),吃用戶滑點,多年累積獲利數千萬美元 💰。它持有大量資金在合約裡自動執行交易,幾乎是 DEX 上 sandwich 攻擊的「頂流」。
攻擊詳細過程:
1. 攻擊者設陷阱 🎣:部署假的 wrapper 代幣(fWETH、fUSDC、fUSDT)和假流動性池,製造出「看起來超有利的套利機會」。
2. Bot 自動上鉤:Bot 的程式偵測到這些「機會」,開始準備執行相關交易。
3. 自己主動授權 ✅:為了完成交易,Bot 自動呼叫 approve(),把自己的 WETH、USDC、USDT 授權給攻擊者控制的合約作為 spender。
4. 留下持久授權 ⚠️:早期小額測試時授權被用完,後續卻留下大量「懸空授權」(dangling approval),沒有及時撤銷。
5. 直接大額抽血 💸:攻擊者用 transferFrom 一次掃走約 1474 WETH + 287萬 USDC + 200萬 USDT,總價值約 750 萬~1500 萬美元,換成 4400 ETH 後部分洗進 Tornado Cash。
結果:Bot 持倉從約 2500 萬美元暴跌到 440 萬美元,社群直呼「獵人變獵物」🤯 大快人心!
核心原因:不是合約被駭,而是 Bot 的自動化邏輯 + 授權管理不嚴謹,被攻擊者反向利用了。
教訓:即使最頂尖的 MEV bot,也要重視 approval 撤銷和風險控制!連機器人都會「自己批准自己的搶劫」(區塊先生 🐡 ⚠️ (rock #58))
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接