6 月 21 日，以太坊網絡上最活躍的 MEV Bot 之一 Jaredfromsubway.eth 遭遇了一次精心設計的蜜罐攻擊，導致超過 750 萬美元的加密資產被盜。Beosin 安全團隊對此次事件進行了深度覆盤，揭示了攻擊者如何利用鏈上交易邏輯的細微差異，成功繞過常規風控機制。午方 AI 梳理發現，此次攻擊並非針對合約代碼漏洞，而是精準利用了 MEV Bot 的業務邏輯缺陷，通過構造特殊的誘餌交易場景實施收割。

攻擊的核心策略在於區分小額與大額交易的不同處理邏輯。在小額交易中，機器人授權真實代幣額度後，子合約會立即轉走真實代幣並消耗授權，整個過程看似完全正常。

然而在大額交易中，子合約並不會調用 transferFrom 轉移真實代幣，而是直接通過僞造交易對鑄造假代幣。這使得機器人誤以爲完成了正常的 swap 前置步驟，實際上真實的代幣授權被完整保留。這種“小額消耗、大額保留”的機制，爲後續的大規模盜取埋下了伏筆。

以針對 USDC 的攻擊路徑爲例，攻擊者首先調用協調器將當前區塊狀態設爲 armed，隨後調用觸發器更新多個僞造 Ring V2 pair 的狀態。當 MEV Bot 發現套利機會並執行交易時，其合約向子合約授權了大額 USDC 額度並調用 wrapTo 或 wrap 函數。由於當前狀態爲 armed，子合約不消耗真實 USDC，而是向 pair 鑄造假代幣，導致 USDC 授權被保留。隨後 MEV Bot 繼續調用僞造 pair 進行 swap，第二跳 pair 將代幣發給 MEV Bot，hub 合約則向其支付少量真實 USDC 作爲利潤。MEV Bot 看到的是一筆成功的套利交易，卻不知其授權已被惡意留存。該流程針對 USDC、USDT 和 WETH 重複執行，最終形成了大量未被消耗的授權額度。

午方 AI 監測到，攻擊者隨後調用協調器合約的 drain loop 函數，calldata 中包含了 66 個子合約地址以及 MEV Bot 合約地址。只要 MEV Bot 此前給這些子合約留下了額度授權，子合約即可直接將對應的真實代幣轉給攻擊者。攻擊交易哈希爲 0x2be8704f5a59b69e0b71f64aefdb99eb0e8ae9fb3926147c581910d71bcf3e65。得手後，攻擊者地址 0x3e37f4A10d771Ba9dE44b6d301410b1BEdeA65d0 收到了 287 萬美元 USDC、204 萬美元 USDT 以及 1,474 個 WETH。

資金轉移路徑顯示，攻擊者迅速將穩定幣兌換成 ETH 並分散轉移至 4 個地址。其中地址 0xe3Da3 已轉移 1,000 個 ETH 至 Tornado Cash 進行混幣，其餘三個地址的 ETH 暫未發現進一步轉移。這一系列操作展示了攻擊者極高的專業素養和對鏈上資金流向的精準把控。午方 AI 分析認爲，此類攻擊標誌着針對 MEV 基礎設施的威脅已從簡單的代碼漏洞利用，升級爲對業務邏輯和交易模擬機制的深度博弈。

本次事件爲整個 MEV 生態敲響了警鐘。攻擊者並未直接攻擊合約代碼，而是根據 MEV Bot 的業務邏輯構造對應的套利場景，誤導其做出看似無問題的授權，最終實現資產轉移。對於套利機器人和 MEV Bot 而言，僅依賴模擬收益來判斷路線安全已遠遠不夠。特別是在套利路徑中存在陌生合約、僞造 token 或自定義 wrapper 時，必須保持高度警惕，並考慮在交易後對 allowance 變化進行強制檢查，以防止類似授權被惡意保留的風險再次發生。