MEV机器人合约遭悬空授权攻击,4400枚ETH被盗

知名MEV机器人合约遭遇高价值权限攻击,资金流失逾4400枚ETH

以太坊网络上,用户JaredFromSubway运营的MEV机器人合约被曝存在潜在安全缺陷,疑似遭受“悬空授权”式攻击,造成超过4400枚以太坊(ETH)资产损失。其中最大一笔转账发生于6月20日,1423枚ETH(约合246万美元)从地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0转移至外部账户。

多笔大额转账确认,总损失逼近760万美元

经链上数据分析,该受监控地址在同一批交易中分四次发起转账:除1423枚ETH外,另向不同接收方发送了1000枚、1000枚和1000枚ETH,合计成功转出4423枚ETH。按当时约1725美元/枚的价格计算,整体损失达760万美元左右。

技术路径指向未清理的授权机制漏洞

初步技术推演认为,攻击可能源于“悬空授权”模式——即受害者合约曾向一个诱导性智能合约授予代币操作权限,但该授权在交易完成后未被主动撤销。若合约未在执行流程结束前验证权限状态,剩余权限便可能被恶意利用,实现非预期的资金提取。

自动化系统成高危目标,执行链追踪成关键

被耗尽资金的地址被标记为“已委托给MetaMask:EIP-7702委托器”,表明其具备智能账户特性,支持签名授权与批量操作。尽管此设定不直接构成攻击入口,但增加了执行路径的复杂性。调查焦点转向交易序列中的授权对象、诱饵合约行为及机器人是否在交易闭环中完成权限回收。

异常交易记录揭示追回边界

值得注意的是,交易集群中一笔来自0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65的1000.999993枚ETH转账因失败被标记为取消,不应计入实际损失。因此,核心事实仍为6月20日,多个地址间完成的多笔成功资金转移,总计超4400枚ETH流出。