MEV机器人遭虚假代币陷阱重创,750万资产被盗

知名以太坊MEV机器人遭恶意合约欺骗,损失逾750万美元

以太坊上活跃的三明治交易执行者jaredfromsubway.eth在一次复杂攻击中遭受重大损失,据估计其资产被盗金额接近750万美元。此次事件由一系列伪装成主流稳定币和质押资产的虚假代币合约引发,攻击者利用开放的代币授权机制,逐步渗透自动化交易流程。

伪造流动性池诱导自动交易系统误判

安全机构Blockaid披露,攻击者构建了包含66个仿冒WETH、USDC及USDT等资产的虚假合约网络,并部署了外观合法的流动性池。这些恶意结构在初期表现出正常交易行为,甚至产生小额收益,成功规避了早期检测机制,使机器人持续投入资金。

随着交易规模扩大,合约触发预设条件,行为发生突变。根据匿名开发者banteg发布的分析报告,这些合约在特定条件下会冻结授权并执行批量提取操作,从而实现对机器人持仓的精准掠夺。

多层级授权被滥用,资金快速转移至匿名通道

链上数据显示,攻击者共获取16个活跃的WETH代币授权,总计约1474.58枚,与实际被盗数量高度一致。在协调性攻击中,一个主合约同时调用66个子合约,每个均按授权上限提取资金,并迅速转入攻击者控制的钱包。

后续追踪显示,被盗资产被兑换为约4427枚ETH,其中1000枚被转入Tornado Cash,显著增加了追回难度。尽管有自称代表该账号的X账户悬赏100万美元征集线索,但其真实性尚未得到验证,亦无官方声明发布。

自动化系统漏洞暴露,安全边界亟待重构

调查未发现私钥泄露或钓鱼攻击痕迹,也排除了主流DeFi协议本身的缺陷。核心问题在于:自动化系统在缺乏足够风险评估机制的前提下,轻易授予了高权限访问。此次事件揭示出,即使是最先进的算法执行框架,也可能因信任错误合约而陷入致命陷阱。

业内专家指出,此类攻击模式正从单纯的技术漏洞转向更隐蔽的策略性欺骗,未来需强化对授权行为的动态监控与阈值控制,防止类似事件再次发生。