長期在加密貨幣市場中收割散戶、令以太坊玩家聞之色變的最強「吸血鬼」終於踢到鐵板。近日,以太坊上最惡名昭彰的交易機器人「jaredfromsubway.eth」遭駭客鎖定,損失達 750 萬美元。諷刺的是,這名駭客並非利用什麼深奧的技術漏洞,而是以其人之道還治其人之身,直接利用機器人自身的自動化交易邏輯,設下完美的陷阱,然後請君入甕。
幣圈公敵:「三明治攻擊」如何榨乾散戶?
「jaredfromsubway.eth」長期以發動三明治攻擊(Sandwich Attack)而聞名幣圈,這是「最大可提取價值」(MEV,指礦工或驗證者透過重新排序交易來獲取額外利潤)的一種常見套利手法。具體來說,自動化程式會潛伏在鏈上,一旦盯上受害者尚未確認的交易,就會搶先買入,迫使受害者以較差的價格成交,隨後再立刻倒貨賣出,將受害者的交易如三明治般夾在中間,然後強行收取「隱形稅」,積少成多之下,獲利相當驚人。
嚴格來說,三明治攻擊並不屬於駭客盜竊,但在加密貨幣社群中普遍被視為一種「掠奪行為」,不僅從用戶身上榨取價值,還會導致鏈上交易手續費飆升,對生態發展毫無益處。
駭客精心布局數週,瞄準機器人「大腦」反將一軍
區塊鏈安全公司 Blockaid 指出,上周六發生的這起事件並非一般釣魚詐騙,也不是單純的合約漏洞,駭客是直接瞄準了這款機器人的「大腦」—— 也就是它的決策系統。
據調查,駭客花了數周時間耐心佈置這場騙局,在去中心化交易所(DEX)上部署了數十個假代幣合約與虛假的流動性池,並將它們偽裝成有利可圖的交易機會。其中,有些假代幣甚至刻意偽裝成市面上常見的加密貨幣,例如包裝以太幣(WETH)以及與美元穩定幣 USDC 、 USDT 。
最終,這些誘餌成功發揮了作用。當「jaredfromsubway.eth」一如往常地掃描市場,誤以為又抓到了肥美的 MEV 獲利機會時,便依照既定邏輯自動生成了「代幣授權」,允許駭客控制的輔助合約動用其資金。在早期的測試階段,這些授權會在交易完成後立刻被消耗掉;但隨後,駭客竄改了交易路徑,讓這些授權狀態維持在「開啟」狀態。
這讓駭客獲得了無限制提領資金的「常設許可」,駭客隨即就利用這些未關閉的授權,將機器人合約中的 WETH 、 USDC 和 USDT 洗劫一空,捲走超過 750 萬美元。鏈上數據顯示,部分被盜資產已被轉移至混幣器 Tornado Cash 進行洗錢。
貪婪到連「V 神」都敢夾,最終淪為他人獵物
這起「駭客反殺機器人」的事件,在幣圈社群中充滿了濃濃的諷刺意味。
長期以來,「jaredfromsubway.eth」一直是以太坊上「惡意 MEV」的頭號代表。數據顯示,光是這類三明治攻擊,每年就讓以太坊交易員損失約 6,000 萬美元。從 2024 年 11 月到 2025 年 10 月期間,以太坊每月發生的 6 萬至 9 萬起攻擊中,就有高達七成是「jaredfromsubway.eth」所為。
今年 5 月,這款機器人連以太坊共同創辦人 Vitalik Buterin 的一筆小額交易都不放過。當時,它不惜動用 114 萬美元的資金來搶跑 V 神的交易,扣除高昂手續費後,竟然只為了賺取區區 4 美元的微薄利潤。
儘管這起事件並不能實質減少三明治攻擊對加密貨幣生態系的長期危害,但它確實為市場敲響了響亮的警鐘:那些僅憑模式識別與獲利訊號、以毫秒級速度自動批准交易的演算法系統,本身就隱藏著被反向利用的巨大風險。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
