Ai总结： 知名MEV机器人JaredFromSubway的合约疑似因‘悬空授权’漏洞被利用，导致超4400枚ETH（约760万美元）在6月20日被分批转出。事件引发对自动化交易系统权限管理风险的深度关注。

MEV机器人合约遭遇高阶权限攻击，逾4400枚ETH被转移

以太坊上知名MEV机器人账户JaredFromSubway的智能合约被曝存在潜在安全漏洞，疑似遭遇“悬空授权”型攻击，造成超过4400枚ETH资金流失。核心损失发生在6月20日，一笔1423枚ETH（约合246万美元）的转账从地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0发起，成为关键链上节点。

多笔大额转账暴露系统性权限缺陷

监控数据显示，同一地址在短时间内向多个接收方分发共计4423枚ETH，包括三笔各1000枚的转账及一笔1423枚的主交易。按当时约1725美元/ETH的价格估算，总价值接近760万美元。该系列操作构成典型攻击路径，引发安全团队对授权机制完整性的质疑。

技术溯源指向“未清除授权”的执行盲区

初步分析指出，攻击可能基于“悬空授权”模式——即受害者合约在与特定诱饵合约交互后，授予了代币操作权限，但未在交易完成后及时撤销。若合约逻辑缺乏对授权状态的最终校验，剩余权限将被恶意利用进行后续资金提取。

此类攻击更倾向针对高频、低延迟的MEV自动化系统，而非普通用户钱包。尽管资金转出地址并非JaredFromSubway本人控制，但多方分析师确认，受害主体正是其运行的机器人合约，其在Etherscan中被标注为“jaredfromsubway: MEV Bot 2”，具备高度自动化特征。

委托架构增加追踪复杂度，执行链成调查焦点

被耗尽资产的地址已被标记为“已委托至MetaMask：EIP-7702委托器”。该协议允许外部账户通过签名元组实现类似智能账户的功能，支持批量指令与远程执行。虽然此设置本身不构成漏洞，却显著提升了攻击路径的隐蔽性。

调查重点转向交易序列的完整性，包括诱饵合约行为、授权目标设定，以及机器人是否在交易闭环前完成权限清理。若确系权限残留所致，将再次凸显在高速执行环境中对状态验证机制的严格依赖。

该事件是继休眠钱包异常清零后，又一例反映以太坊执行层深层安全挑战的案例。当前市场正加速推进钱包级模拟测试、威胁建模与MEV防护工具部署，以应对日益复杂的链上攻击形式。

值得注意的是，交易集群中一笔来自0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65的1000.999993枚ETH转入因失败而被取消，未计入实际损失。因此，确认成功的资金外流仍以6月20日的四笔转账为核心事实：总计4423枚ETH从受监管地址流出。