以太坊知名 MEV 机器人 jaredfromsubway.eth 近日遭攻击者利用自动交易逻辑，损失超过 750 万美元。安全公司 Blockaid 表示，这次事件并非传统合约漏洞，也不是常见钓鱼攻击，而是攻击者借助伪造代币与流动性池，诱导机器人向恶意辅助合约开放代币授权。

　　 攻击持续数周布置

　　 根据 Blockaid 的说法，攻击者在数周内部署了数十个伪造代币合约和虚假流动性池。这些对象被包装成看似可获利的交易机会，部分还模仿了 WETH、USDC 和 USDT 等常见资产。

　　 jaredfromsubway.eth 的机器人识别到这些“机会”后，会自动生成授权，允许相关辅助合约代表其动用资金。早期测试中，这些授权会在交易流程中即时使用；但在后续设计里，攻击者构造了授权仍然保持有效的路径。

　　 开放授权被用于转走资产

　　 一旦授权持续存在，攻击者就获得了持续调用资金的权限。随后，其利用这些开放授权，从 jaredfromsubway.eth 控制的合约中转出 WETH、USDC 和 USDT，累计金额超过 750 万美元。

　　 CoinDesk 查阅的链上数据显示，部分被盗资金之后被转入 Tornado Cash。报道未提及相关资金是否已被冻结或追回。

　　 涉及资产：WETH、USDC、USDT 损失规模：超过 750 万美元 部分资金去向：Tornado Cash MEV 机器人反被自动化逻辑击中

　　 jaredfromsubway.eth 是以太坊上最知名的夹层攻击机器人之一。所谓夹层攻击，是指机器人先在用户交易前抢先买入，待用户以更差价格成交后，再迅速卖出，从中赚取差价。对单笔交易而言，这类损失可能不大，但长期会形成对用户的隐性成本。

　　 报道援引数据称，2024 年 11 月至 2025 年 10 月期间，以太坊每月出现约 6 万至 9 万次夹层攻击，给交易者带来的年化损失约为 6000 万美元。其中约 70% 与 jaredfromsubway.eth 有关。

　　 CoinDesk 此前还曾这个机器人甚至对以太坊联合创始人 Vitalik Buterin 的一笔小额兑换实施过夹层操作。当时它为抢跑交易投入约 114 万美元，最终仅获得约 4 美元收益。这也反映出该系统已高度自动化，会在内存池中大范围扫描可插入的交易。

　　 这次事件并未改变夹层攻击本身对用户的伤害，但显示出另一层风险：当交易系统依赖机器速度、模式识别和利润信号自动放行授权时，这种机制本身也可能被反向利用。