Jaredfromsubway MEV 機械人遭入侵損失 750 萬美元　凸顯 DeFi 權限管理風險

6 月 20 日，Jaredfromsubway.eth 的最大可提取價值（MEV）機械人遭利用，損失約 750 萬美元。攻擊者先鑄造一款代幣（wrapper）並建立流動性池，營造出具利可圖的假象。當機械人進場捕捉所謂套利機會時，攻擊者藉機惡意改動機械人的交易邏輯，誘導 MEV 機械人自動完成授權（approval）流程，令由攻擊者控制的合約獲得長期授權，可持續提走資金。 本次被盜資產包括 1,583 枚以太坊（ETH）、287 萬枚 USD Coin（USDC）及 209 萬枚 Tether（USDT）。其後資產被歸集並兌換為 4,427 枚 ETH，以減少資金碎片化，亦令後續清洗更方便。 據 X 上資訊，隨後出現多筆精準的 100 ETH 轉帳流入 Tornado Cash，每筆約值 17.2 萬美元。以較小額分拆入金可增加追蹤難度。隨着洗錢活動加速，至少 1,000 枚 ETH 已進入 Tornado Cash，反映攻擊者由"抽走資金"轉向"掩蓋資金去向"。事件已不止於初步盜竊，調查重點正轉向追查其切斷鏈上軌跡、增加追討難度的操作。 Jaredfromsubway 事件發生之際，MEV 機械人對鏈上市場的影響力仍在擴大。多年來，自動化機械人已演進成可在多條區塊鏈上搜尋並執行交易的多十億美元級別執行引擎，涵蓋以太坊（ETH）、Solana（SOL）及多個 Layer 2 網絡。資金愈集中於這類程式，營運層面的風險就愈突出。 值得留意的是，今次攻擊並非針對智能合約程式漏洞，而是瞄準機械人工作流程中的代幣授權環節。這亦突顯黑客愈來愈傾向利用存取權限，而非單靠找出程式錯誤。即使市場過去已出現多宗造成數億美元損失的入侵個案，撤銷授權（revocation）的比率仍然偏低。隨着自動化持續推動 DeFi 的流動性與價格發現，權限管理正成為 DeFi 最迫切的安全議題之一。 總結：今次 750 萬美元的 Jaredfromsubway 事件顯示，攻擊者正把焦點轉向工作流程與授權機制，而非單純尋找程式漏洞。MEV 基建的資金集中度上升，亦令鏈上市場的營運失誤成本進一步提高。