JaredFromSubway MEV 机器人遭黑客攻击，被盗 1500 万美元加密货币

JaredFromSubway 的以太坊 MEV（最大可提取价值）机器人在攻击者通过创建虚假加密货币交易机会操纵其机会检测逻辑后，遭受了 1500 万美元的损失。

此次资金被盗于周六被区块链安全公司 Blockaid 检测到，今天 JaredFromSubway 确认攻击者使用了虚假池和代币来诱骗机器人批准辅助合约。

据 Blockaid 称，攻击者部署了旨在向 JaredFromSubway 的自动执行系统呈现为有利可图的 MEV 机会的合约。

该机器人自动分析了看似有经济回报的路径和交易机会。然后它生成了执行这些交易所需的交易，向攻击者控制的合约授予了 ERC-20 代币批准。

攻击者似乎精心策划了此次盗窃，因为早期的交易作为无害测试，帮助确认了机器人的行动流程。后来，威胁行为者更改了路径，使得机器人在授予批准后，额度未被消耗或撤销。

攻击者累积了有效的支出权限但未立即使用，最终达到 92.1614 WETH 被批准给一个攻击者控制的辅助合约。

最后，攻击者利用开放的批准权限，通过 transferFrom 函数从 JaredFromSubway MEV 机器人合约中提取了 WETH、USDC 和 USDT。

因果报应

MEV 机器人是超快自动交易系统，扫描以太坊和其他区块链，通过利用交易在被包含进区块之前的顺序和时间来寻找赚钱机会。

JaredFromSubway 是一个私有的 MEV 操作，没有公开可用的代码，被称为以太坊上最激进、最显眼的“三明治”机器人操作之一。

在三明治攻击中，机器人检测到用户的待处理交易，立即在其之前下达买入订单，然后在其之后立即卖出，从受害者交易引起的价格波动中获利。

这种做法存在争议，因为它通常导致普通交易者获得更差的价格，同时为机器人操作者创造利润。

最初，JaredFromSubway 向攻击者提供了 300 万美元的赏金，要求全额归还被盗资金，并承诺不会采取进一步行动。

在未收到回应后，JaredFromSubway 将赏金提高到 750 万美元，要求仅归还被盗金额的 50%，其中 100 万美元将捐赠给社区。

JaredFromSubway 还在就被盗的 1500 万美元与“一个白帽黑客组织”进行谈判，但目前尚未确认达成协议。