該事件發生在機器人的自動交易系統授予攻擊者代幣批准時,根據安全公司 Blockaid 的說法。 這不是典型的釣魚攻擊或受害者合約中的直接漏洞,而是對機器人交易工作流程的利用。
漏洞細節
攻擊者使用了 66 個偽造的代幣合約,模擬了 WETH、USDC 和 USDT 的外觀和功能,配對了偽造的流動性池。 這些合約欺騙了機器人授予支出權限,後來被用來從 JaredFromSubway MEV 機器人合約中抽取資金。 最終的交易使用了開放的批准將 WETH、USDC 和 USDT 從機器人合約轉移到攻擊者的錢包。
事後
JaredFromSubway 帳戶聲稱損失