MEV机器人合约遭悬空授权攻击，逾4400枚ETH被转移

以太坊上知名MEV机器人账户JaredFromSubway的智能合约疑似遭遇新型攻击，导致超过4400枚以太坊（ETH）被分批转出。其中最大一笔为1423枚ETH，于6月20日从地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0完成转账，市值约246万美元。

资金流失源于授权机制失效，非传统钱包盗取

该事件最初由分析师SpecterAnalyst披露，指出相关钱包可能损失金额超700万美元，并暗示与JaredFromSubway的机器人系统存在关联。后续调查确认，受害实体为该机器人合约本身，问题根源在于授权流程未被正确清理，而非普通意义上的私钥泄露。

监控数据显示，同一交易集群中，地址0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0先后向多个接收方发送了三笔各1000枚ETH的转账，加上前述1423枚，总计成功转移4423枚ETH。按当时约1725美元/枚的价格计算，整体损失达760万美元。

“悬空授权”成攻击核心路径，自动化系统成靶点

初步技术推断表明，攻击手法可能基于“悬空授权”模式。即受害者合约曾向一个伪装性诱饵合约授予代币操作权限，但该授权在交易完成后未被主动撤销。若合约未在执行末期验证权限状态，则剩余授权额度可能被恶意利用，实现后续资金提取。

此类漏洞尤其适合针对高频率、低延迟的MEV机器人，因其常与陌生合约交互，依赖时间窗口进行路由优化。若合约未能在交易闭环前清除所有临时权限，便可能被诱导性合约捕获，进而将速度优势转化为攻击入口。

委托账户结构加剧执行链追踪复杂度

被耗尽资产的地址已被标记为“已委托至MetaMask：EIP-7702委托器”。该标准允许外部账户通过签名元组绑定代码逻辑，赋予其类似智能账户的批量处理能力，包括跨合约调用与条件执行。

尽管委托关系本身不构成攻击依据，但显著增加了行为溯源难度。一旦资金通过悬空授权被窃取，追踪重点将转向交易序列中的授权源、目标合约以及机器人是否在关键节点遗漏权限清理动作。

此事件再次凸显以太坊执行层在自动化系统安全方面的脆弱性。此前已有休眠钱包醒来后余额清零的案例，促使市场对钱包级模拟测试、威胁检测工具及MEV防护机制的需求持续上升。

值得注意的是，交易集群中一笔来自0x74Dc5b93586D248D5Aec64b3586736FF0A0D0e65至0x3e37地址的1000.999993枚ETH转账因失败而被取消，不应计入实际损失。因此，确认有效的转出行为仍为6月20日发生的多笔合计超4400枚ETH的资金外流。