顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟

顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟

N
News Editor
2026-06-23 23:00:58
以太坊知名三明治套利机器人 Jaredfromsubway.eth 遭定制化钓鱼攻击,损失超 750 万美元。攻击者利用机器人的自动化执行逻辑,诱导其向恶意合约授予 ERC-20 授权(Approval),从而合法转走资产。事件再次暴露链上授权机制被忽视的致命风险。
MEV机器人授权攻击安全以太坊三明治攻击Jaredfromsubway

6 月 21 日,以太坊上知名的三明治套利机器人 Jaredfromsubway.eth 遭到攻击,地址内的 WETH、USDC 等资产被转走,初步统计损失超 750 万美元。值得注意的是,这次攻击既非私钥泄露,也非利用传统智能合约漏洞,而是攻击者精心设计的「定制版」陷阱:提前部署大量虚假代币、流动性池和辅助合约,将其包装成看似有套利空间的交易路径,诱导机器人在自动化执行过程中向恶意合约授予 ERC-20 的 Approval,从而「合法」转走资产。

顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟 2

精心策划的围猎:针对机器人交易逻辑的长期陷阱

Jaredfromsubway.eth 是以太坊上最活跃的三明治攻击机器人之一。其策略是扫描待处理的链上交易,抢先买入推高价格,待用户以更差价格成交后立即卖出,赚取价差。为此,机器人需要持续高速判断套利机会并组织交易路径,调用各种代币和合约。攻击者正是瞄准了这一运行特点,花费数周构造了一个看似有利可图的交易环境:先制造符合机器人盈利判断的虚假条件,然后利用其自动执行的机制,让系统主动交出资产调用权。

顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟 3

事后复盘显示,攻击者并没有直接攻击机器人的资金合约,而是设计了一套高度定制化的陷阱。这解释了为什么连专业 MEV 机器人都会中招——它擅长计算价差、Gas 成本和交易顺序,却未必对新出现的合约进行充分的身份验证。普通用户的问题常是「没有看懂就点了确认」,而自动化机器人的问题则是「没有确认就自动执行」。两者底层风险很接近:都将授权视为完成交易前的普通一步,而忽视了其潜在危险。

顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟 4

Approval 机制:DeFi 的基石与隐藏的定时炸弹

在以太坊及 EVM 兼容链的 ERC-20 标准中,Approve(授权)是一个基础设计。当用户需要在 DEX、借贷、质押等场景让智能合约代自己调用代币时,必须先执行 Approve 告知系统「允许某合约划走指定数量的代币」。授权完成后,合约才能通过 transferFrom 在额度内调用资产。Approval 本身不是漏洞,而是 DeFi 运转的前提。然而,它类似于自动扣款权限——只要授权有效,后续扣款无需再次确认,这带来几个核心问题。

顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟 5

第一是无限授权:为减少重复授权产生的操作和 Gas 成本,许多 DApp 会默认申请极大额度(常称「无限授权」)。用户原本只想用 100 USDC 完成交易,却允许合约动用全部 USDC。第二是授权不会随断开连接而自动撤销:很多用户将「断开钱包」与「撤销授权」混为一谈,实际上断开连接只是不让网页读取钱包,已写入链上的 Approval 依然有效。第三是合约本身可能变危险:即使最初是正常合约,也可能因遭受攻击、管理员密钥泄露或升级逻辑被替换而变成恶意,资产虽在用户地址内,但合约仍拥有调用权限。

顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟 6

如何防范 Approval 风险?从用户习惯到钱包产品

面对 Approval 风险,最简单的建议是「不要无限授权」。但在实际使用中完全拒绝授权并不现实。真正需要的是将授权从一次性确认变为持续的权限管理。用户应建立几个基本习惯:第一,遵循最小权限原则,在授权时尽量设置与本次交互匹配的额度,而非无限额度;第二,区分储存钱包和交互钱包,长期储值地址不要频繁连接陌生 DApp,对高风险交互使用单独地址;第三,定期检查并撤销不再需要的授权,可通过 Revoke.cash 或 imToken 等工具进行管理。

顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟 7

然而,仅靠用户安全意识还不够。钱包作为用户进入 Web3 的第一道防线,必须提供主动防御。以 imToken 为例,其对已识别的风险代币、地址和 DApp 进行标记或拦截,并在用户向外部账户授予权限或向合约直接转账时提供针对性风险提示。此外,imToken 在 DApp 登录、转账、兑换与授权等关键环节对签名内容进行结构化解析与可读化呈现,帮助用户理解签署内容。随着 ERC-7730 等 Clear Signing 标准推进,这种「所见即所签」的可读化展示有望成为行业标准。

顶级 MEV 机器人被钓鱼损失 750 万美元:Approval 授权风险再敲警钟 8

事件后续与反思

截止发文时,Jaredfromsubway.eth 已通过链上消息向攻击者公开喊话,表示若在 48 小时内归还 2150 枚以太坊,愿意支付五成白帽赏金,否则将采取法律及执法手段追责。这一事件再次警示:私钥决定谁拥有账户,而 Approval 决定谁还能调用账户里的资产。真正危险的未必是刚发生的转账,也可能是一个早已被遗忘却始终有效的授权。从用户到钱包,都需要共同努力——用户看清授权对象和额度、及时清理权限;钱包让权限变得更可见、易理解和可撤销。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
100

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。