三明治机器人 JaredFromSubway 被假合约蜜罐清倉，损失约 750 万美元

安全公司 Blockaid 于 6 月 21 日披露，以太坊链上臭名昭彰的三明治攻击机器人 JaredFromSubway 遭攻击者历时数週部署的 66 个仿冒代币合约精心设计蜜罐，利用机器人自动逐利逻辑诱骗其批准代币支出许可，最终一次性清空机器人的钱包内的真实资产。

66 个仿冒代币合约的部署与攻击逻辑

攻击者的准备工作长达数週，陆续部署了 66 个仿冒代币合约，外观精准模拟 Wrapped Ether（WETH）、USD Coin（USDC）与 Tether（USDT）三种主流资产。

JaredFromSubway 的核心逻辑是持续扫描以太坊内存池，自动辨识并跟进高流动性代币的套利路径；这些假合约在机器人的眼中与真实路径毫无二致，它如往常一样“嗅到”机会，随即批准向攻击者控制的辅助合约支出代币。

Blockaid 指出：“攻击者控制的合约诱骗了自动 MEV 执行系统，使其授予代币授权，这些授权事后被用于提领资金。”仅单笔授权就交出超过 92 WETH。最后一个合约利用这些已开放的授权，一次性扫清机器人钱包内的真实资产，链上交易可于 Etherscan 查阅。

JaredFromSubway 的历史战绩：巅峰期毛收入逾 3,400 万美元

JaredFromSubway 自 2023 年初活跃以来，已执行数十万次三明治攻击，收益高峰期毛收入估达 3,400 至 4,000 万美元。在 MEV 最猖獗的时期，以太坊全网每月约有 70% 的三明治攻击来自这支机器人。

2026 年 5 月，JaredFromSubway 对 Vitalik Buterin 的代币兑换执行三明治攻击，动用逾 114 万美元 WETH 进行夹击，此事引发广泛关注。类似的“猎杀 MEV Bot”事件并非首次——2023 年曾有一名恶意验证者利用相同逻辑，从多支三明治机器人手中抽走约 2,500 万美元；这次的手法则更加精密，以 66 个假合约替代单点突破。

损失数字的两个版本：链上 750 万 vs 设计者声称的 1,500 万美元

Blockaid 与 PeckShield 的链上分析均将损失定在约 750 万美元。JaredFromSubway 设计者在事后声称，若计入非直接链上可见的部分，总损失接近 1,500 万美元，并已开出 100 万美元赏金，条件是攻击者归还资金。

常见问题

攻击者是如何让 JaredFromSubway 在不知情的情况下授予代币许可的？

根据 Blockaid 的分析，攻击者部署的 66 个假合约外观完全模拟真实高流动性资产（WETH、USDC、USDT），对机器人的自动扫描逻辑而言与真实路径毫无区别。机器人自动识别“套利机会”并批准代币支出后，攻击者的最后一个合约利用这些已开放的授权一次性扫清真实资产。漏洞来源不是程式码缺陷，而是机器人的逐利逻辑本身。

JaredFromSubway 的 100 万美元悬赏能否追回资金？

根据报道，虽然 JaredFromSubway 设计者已开出 100 万美元悬赏，但从历史案例来看，此类攻击事件的资金归还率极低。文章指出“能要回这笔钱的机率，目前来说并不高”。

为何安全公司 Blockaid 和设计者的损失估算差距这么大（750 万 vs 1,500 万）？

根据报道，Blockaid 和 PeckShield 的链上分析只能追踪直接可见的链上资产损失（约 750 万美元）；JaredFromSubway 设计者声称的 1,500 万美元包含非直接链上可见的部分，但具体组成尚未公开披露。