Ai总结： 知名MEV机器人Jaredfromsubway.eth因被诱导授予代币支出权限，导致超750万美元资产被清空。攻击者通过伪造流动性池与代币合约构建蜜罐，利用自动化逻辑完成资金转移，凸显去中心化交易系统中授权机制的深层隐患。

自动化逐利系统反被操纵：知名MEV机器人遭巨额资金劫持

一名以太坊上活跃的MEV机器人运营商Jaredfromsubway.eth在上周六遭遇严重资金外流，损失超过750万美元。攻击者并未直接入侵其私钥或合约漏洞，而是通过精心设计的虚假链上环境，诱使该机器人自动执行授权操作，进而将资产转至攻击者控制地址。

虚假合约诱导授权：自动化逻辑成攻击跳板

据安全机构Blockaid披露，此次事件的核心在于攻击者部署了66个伪装成主流资产（如wETH、USDC、USDT）的伪造代币合约，并与虚构流动性池配对，制造出看似高回报的交易机会。这些结构成功触发了目标机器人的自动化决策流程，使其主动向攻击者控制的辅助合约发放代币支出权限，最终被用于批量提取资金。

从三明治收割者到被收割对象：角色反转的警示

长期以来，此类机器人常被指通过三明治攻击从普通用户处获取收益，据研究显示，2024年11月至2025年10月期间，每月有6万至9万次相关攻击发生，其中约七成涉及该账户。然而，本次事件揭示了一个悖论：高度自动化的盈利工具本身也可能成为攻击目标。当系统依赖可重复使用的授权路径时，恶意行为者无需破解核心代码，仅需构造符合其行为模式的环境即可实现反向操控。

非传统攻击：攻击焦点是“信任最小化”逻辑而非漏洞

Blockaid强调，此事件不属于典型的网络钓鱼或合约缺陷利用。相反，攻击者精准瞄准了机器人“最小化信任”的运行机制——即其基于预设规则自动响应链上信号的特性。首席技术官Raz Niv将其定义为一种“反MEV蜜罐”策略，其本质是通过诱导机器人执行本应安全的授权动作，从而将其自身的信任框架转化为攻击入口。

66个伪造入口：一场精心策划的权限陷阱

在数周内，攻击者陆续上线66个仿冒代币合约，它们不仅外观逼真，且配置了虚假流动性池，营造出真实交易场景的假象。当机器人按照既定逻辑评估这些“机会”时，误判其合法性并授予相应权限。随后，在一次集中交易中，所有66个后门被激活，迅速抽干了机器人持有的ETH、USDC及USDT，造成大规模资金流失。这一过程暴露了自动化系统在依赖广泛授权机制时所面临的系统性风险。

对去中心化金融安全范式的冲击

该事件将关注点从单纯的利润捕获转向操作层面的安全隐患。即便系统宣称“无须信任”，只要其与外部合约交互并授予权限，就可能被外部环境诱导偏离预期行为。攻击者无需突破底层安全边界，只需复制机器人行为假设，即可将其功能逆转为资金外流通道。值得注意的是，今年早些时候，以太坊联合创始人Vitalik Buterin也曾遭遇类似三明治攻击，但规模极小；而此次事件则标志着攻击重心正从普通用户转向基础设施本身。

未来防御方向：授权管理与系统韧性重构

当前亟需评估此类反MEV策略的传播范围及其可复现性。若该方法被证实具备模板化潜力，将可能推动整个自动化交易生态加速升级防御机制。关键观察包括：机器人运营方是否会收紧授权阈值、引入动态验证机制，以及是否采用更细粒度的权限控制模型，以应对日益复杂的链上博弈环境。