以太坊最大”三明治”机器人惨遭滑铁卢：$755万套利机器人被自己人”打劫”

导语：要说币圈谁最招人恨，JaredFromSubway.eth绝对榜上有名——这个以太坊最大的”三明治”攻击机器人多年来靠狙击用户交易疯狂敛财。然而天道好轮回，6月21日，它自己成了”美味的午餐”：攻击者用同样的套路反过来钓它，一波带走超755万美元。更讽刺的是，机器人直到钱包被掏空都没反应过来——它还以为自己在做一笔稳赚的套利交易呢。

一、事件概述

1.1 “农民”反被”收割”

JaredFromSubway是以太坊上最著名的MEV（最大可提取价值）机器人之一，长期占据以太坊”三明治攻击”的头把交椅。所谓三明治攻击，就是机器人先于用户买入（front-run），在用户交易完成后再卖出，从而赚取差价——本质上是一种对普通交易者的隐性抽税。

根据安全公司Blockaid的分析，6月21日这一天，JaredFromSubway.eth被攻击者利用其自身的自动化交易逻辑反将一军，损失超过755万美元。失窃资产包括：1,474.58枚WETH（约合447万美元）、287万枚USDC和200万枚USDT。

攻击者地址为：0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0。链上数据显示，部分被盗资金已被发送至混币平台Tornado Cash，试图掩盖踪迹。

1.2 ” MEV之王”的黑历史

讽刺的是，JaredFromSubway.eth此次被”收割”，在社区引发的同情寥寥。三明治攻击本质上是从普通用户口袋里偷钱，MEV机器人长期被视为以太坊生态的”毒瘤”。

数据显示，2024年11月至2025年10月间，以太坊每月发生6万至9万次三明治攻击，一年下来交易者累计损失约6000万美元。其中约70%的攻击都出自JaredFromSubway之手。更有意思的是，该机器人甚至连V神（Vitalik Buterin）的小额交易都不放过——曾用114万美元的gas费用去front-run V神一笔仅4美元的交易，最终只赚了几美元手续费。”宁可错杀，不可放过”的贪婪可见一斑。

二、攻击手法：披着套利外衣的”钓鱼”陷阱

2.1 几周布局，步步为营

这起攻击并非一次简单的”闪电战”，而是攻击者精心策划、历时数周的”慢性投毒”。

第一步：部署假Token与假流动性池。攻击者部署了数十个虚假Token合约（伪装成WETH、USDC、USDT等常见资产，合约名标注为fWETH、fUSDC、fUSDT），并创建了对应的虚假DeFi流动性池，营造出高收益套利机会的假象。

第二步：机器人”自投罗网”。JaredFromSubway的自动化系统扫描到这些”肥美”的MEV机会后，按照预设逻辑生成对攻击者控制合约的授权（Approval），允许后者代表机器人转移Token。

第三步：”试吃”阶段消除戒心。在早期测试交易中，这些授权被立即使用完成套利，机器人一切照常——这让它和监控链上活动的研究者都没察觉任何异常。

第四步：静默积累，蓄势待发。后期攻击交易中，机器人授予的授权不再被消耗，攻击者便拥有了”常驻”的提款权限，可随时动用机器人钱包中的资产。

第五步：收网。所有准备工作完成后，攻击者通过transferFrom函数直接将WETH、USDC和USDT从机器人合约转出，送入自己的钱包。

2.2 机器人”助攻”：自己的自动化成了最大漏洞

Blockaid安全团队指出，这次攻击的特殊之处在于：它既不是传统的合约漏洞利用，也不是钓鱼诈骗，而是对机器人决策系统的降维打击。

攻击者充分利用了MEV机器人的核心运行逻辑——追求利润、响应模式、快速决策。当机器人看到”有利可图”的信号时，它的自动化流程会自动生成授权，而不会像人类交易者那样质疑这笔交易的真实性。

换句话说：攻击者不是攻破了机器人的防线，而是喂给它一份它根本无法拒绝的”合同”，让它自己签字画押。

三、影响与警示

3.1 MEV自动化的”原罪”

这起事件深刻揭示了”机器速度决策”系统的内在风险。MEV机器人以毫秒级速度扫描内存池（mempool）、识别交易模式、提交有利可图的交易。这种能力让它们在市场上无往不利，但当系统本身的设计逻辑被利用时，同样的速度反而成了加速自我毁灭的工具。

安全专家就此提醒：即使是全自动化的交易系统，也应对代币授权保持高度警惕。 一次性授权额度应遵循”最小必要”原则，且在使用完毕后应及时撤销。

3.2 教训：即使你是”庄家”，也要小心”对手盘”

JaredFromSubway.eth多年来一直在以太坊上扮演”猎人”角色，专猎不善防备的普通用户。然而这次，它自己成了被猎人盯上的猎物。

正应了那句老话：常在河边走，哪有不湿鞋。 当你在设计陷阱收割别人时，也要小心自己踩进的每一个”机会”。

四、总结

JaredFromSubway.eth遭遇的755万美元”翻车”事件，是MEV生态中最具讽刺意味的一页。攻击者没有使用任何高深的技术手段，而是用最基本的ERC-20授权机制，让机器人亲手递上了自己钱包的”钥匙”。

这波操作，攻击者可以打满分；机器人这边，只能说：出来混，迟早要还的。

版权声明：本文由华盟网原创发布，保留所有权利。配图由华盟网授权使用。