Jaredfromsubway.eth 是以太坊最著名、最具攻击性的 MEV(最大可提取价值)机器人之一,该机器人利用机器人自身的交易逻辑进行武器化,利用高度复杂的反攻击手段,已经损失了超过 750 万美元。
攻击发生在周六,专门针对机器人的审批机制,旨在快速授予执行盈利交易的权限。据链上安全公司 Blockaid 称,攻击者部署了恶意智能合约,欺骗 Jaredfromsubway.eth 批准与虚假代币包装器和流动性池相关的辅助合约。
该计划围绕广泛使用的资产(包括 WETH、USDC 和 USDT)的伪造版本展开,这些资产与交易路线中伪造的“Cap”代币配对,这对机器人的自动化系统来说似乎利润丰厚。一旦机器人为这些看似有利可图的交易授予代币批准,攻击者就会故意使这些权限保持活动状态,而不是执行预期的交易路径。
在攻击的最后阶段,攻击者利用开放批准来调用 transferFrom 函数,直接从机器人的钱包中窃取真实的 WETH、USDC 和 USDT。这有效地将一个旨在从零售交易者身上榨取价值的系统变成了其自身对抗性设计的受害者——这是反 MEV 的教科书示例。
Jaredfromsubway.eth 长期以来一直象征着以太坊 MEV 生态系统的阴暗面。根据 Cointelegraph Research 的数据,该机器人以三明治攻击而闻名,即机器人抢先和后跑用户交易,以从价格滑点中获利。该机器人此前与 2024 年 11 月至 2025 年 10 月期间所有三明治攻击中约 70% 的攻击有关。这些攻击每年给以太坊用户造成约 6000 万美元的损失。
与涉及协议漏洞或私钥泄露的典型 DeFi 黑客攻击不同,这一事件突显了激进的自动化、持续的代币审批以及对未经验证的市场路线的依赖所固有的风险——即使对于通常被定位为 DeFi 食物链中掠夺者的实体也是如此。
该漏洞清楚地提醒我们,在以太坊的高速、对抗性交易环境中,即使是猎人也可能成为猎物。截至本报告发布时,以太坊的交易价格为每个代币 1,737.55 美元。