虚假代币合约诱骗自动化交易系统

攻击者部署了66个模仿主流资产的虚假代币合约,包括WETH、USDC和USDT,同时构建看似合法的流动性池,诱导MEV机器人误判交易路径为盈利机会。早期小额交易表现正常,使系统未察觉异常,但当交易规模扩大时,合约行为发生突变,触发资金提取。

授权机制被滥用致巨额损失

区块链安全公司Blockaid指出,攻击者通过伪造交易流程获取了机器人自动交易系统的代币授权。尽管私钥未泄露,也无钓鱼或协议漏洞迹象,但恶意合约在特定条件下保留授权,使得攻击者可在大额交易中持续调用权限,实现批量提款。

资金转移与链上追踪

被盗资产包括1474.58枚WETH、约290万美元USDC及200万美元USDT,总价值约750万美元。部分资金被兑换为4427枚以太坊,其中1000枚转入Tornado Cash。链上追踪显示,主合约协调触发66个子合约同步提款,形成集中式资金抽取。

社区反应与追偿悬疑

一个自称代表jaredfromsubway.eth的X账户宣布悬赏100万美元追回资金,但多位观察者质疑其真实性。截至目前,无官方声明发布,实际运营方仍未出面回应事件。

自动化系统面临新威胁

该事件凸显自动化交易系统在面对结构化欺骗时的高风险。攻击者利用信任机制与行为延迟特性,成功绕过常规检测,对以太坊生态中最活跃的三明治交易参与者造成重大打击,警示行业需强化对授权行为与合约行为的实时监控。