交易机器人因授权漏洞遭黑客攻击

本周末,一款在以太坊生态中活跃多年的自动化交易系统因设计缺陷被恶意利用,造成高达750万美元的资金损失。该系统曾以执行“三明治攻击”而闻名,其运作机制依赖于对交易顺序的预判与快速响应。

虚假机会诱使授权失控

据安全机构Blockaid披露,攻击者通过构造看似高收益的交易场景,诱导该机器人授权外部账户进行资金操作。然而,这些授权在交易完成后并未正常撤销,致使攻击者获得持续动用资金的权限。

资金转移与踪迹掩盖

在成功获取控制权后,攻击者将部分封装以太坊及稳定币兑换为其他资产,并通过Tornado Cash完成混币处理,试图隐藏资金流向。这一行为被PeckShield在社交平台指出,表明攻击已进入洗钱阶段。

运营方回应:悬赏追回资金

面对损失,该机器人的幕后运营者在链上发布消息,承诺支付50%白帽赏金(约370万美元),要求在48小时内归还2150枚以太坊。否则将启动法律程序并寻求执法介入。

行业反思:MEV风险仍存

尽管行业内已有多种防御手段应对三明治攻击,但此类事件再次暴露自动化策略在复杂环境中仍存在不可忽视的安全隐患。尤其当系统依赖外部授权时,一旦流程管理出现疏漏,便可能成为攻击目标。