三明治機器人 JaredFromSubway 被假合約蜜罐清倉，損失約 750 萬美元

安全公司 Blockaid 於 6 月 21 日披露，以太坊鏈上惡名昭彰的三明治攻擊機器人 JaredFromSubway 遭攻擊者歷時數週部署的 66 個仿冒代幣合約精心設計蜜罐，利用機器人自動逐利邏輯誘騙其批准代幣支出許可，最終一次性清空機器人錢包內的真實資產。

66 個仿冒代幣合約的部署與攻擊邏輯

攻擊者的準備工作長達數週，陸續部署了 66 個仿冒代幣合約，外觀精準模擬 Wrapped Ether（WETH）、USD Coin（USDC）與 Tether（USDT）三種主流資產。

JaredFromSubway 的核心邏輯是持續掃描以太坊記憶體池，自動辨識並跟進高流動性代幣的套利路徑；這些假合約在機器人眼中與真實路徑毫無二致，它如往常一樣「嗅到」機會，隨即批准向攻擊者控制的輔助合約支出代幣。

Blockaid 指出：「攻擊者控制的合約誘騙了自動 MEV 執行系統，使其授予代幣授權，這些授權事後被用於提領資金。」僅單筆授權就交出超過 92 WETH。最後一個合約利用這些已開放的授權，一次性掃清機器人錢包內的真實資產，鏈上交易可於 Etherscan 查閱。

JaredFromSubway 的歷史戰績：巔峰期毛收入逾 3,400 萬美元

JaredFromSubway 自 2023 年初活躍以來，已執行數十萬次三明治攻擊，收益高峰期毛收入估達 3,400 至 4,000 萬美元。在 MEV 最猖獗的時期，以太坊全網每月約有 70% 的三明治攻擊來自這支機器人。

2026 年 5 月，JaredFromSubway 對 Vitalik Buterin 的代幣兌換執行三明治攻擊，動用逾 114 萬美元 WETH 進行夾擊，此事引發廣泛關注。類似的「獵殺 MEV Bot」事件並非首次——2023 年曾有一名惡意驗證者利用相同邏輯，從多支三明治機器人手中抽走約 2,500 萬美元；這次的手法則更加精密，以 66 個假合約代替單點突破。

損失數字的兩個版本：鏈上 750 萬 vs 設計者聲稱的 1,500 萬美元

Blockaid 與 PeckShield 的鏈上分析均將損失定在約 750 萬美元。JaredFromSubway 設計者在事後聲稱，若計入非直接鏈上可見的部分，總損失接近 1,500 萬美元，並已開出 100 萬美元賞金，條件是攻擊者歸還資金。

常見問題

攻擊者是如何讓 JaredFromSubway 在不知情的情況下授予代幣許可的？

根據 Blockaid 的分析，攻擊者部署的 66 個假合約外觀完全模擬真實高流動性資產（WETH、USDC、USDT），對機器人的自動掃描邏輯而言與真實路徑毫無區別。機器人自動識別「套利機會」並批准代幣支出後，攻擊者的最後一個合約利用這些已開放的授權一次性掃清真實資產。漏洞來源不是程式碼缺陷，而是機器人的逐利邏輯本身。

JaredFromSubway 的 100 萬美元懸賞能否追回資金？

根據報道，雖然 JaredFromSubway 設計者已開出 100 萬美元懸賞，但從歷史案例來看，此類攻擊事件的資金歸還率極低。文章指出「能要回這筆錢的機率，目前來說並不高」。

為何安全公司 Blockaid 和設計者的損失估算差距這麼大（750 萬 vs 1,500 萬）？

根據報道，Blockaid 和 PeckShield 的鏈上分析只能追蹤直接可見的鏈上資產損失（約 750 萬美元）；JaredFromSubway 設計者聲稱的 1,500 萬美元包含非直接鏈上可見的部分，但具體組成尚未公開揭露。