以太坊最知名、也最具爭議性的 MEV（最大可提取價值）機器人之一 Jaredfromsubway.eth，近日遭駭客利用其自身自動交易邏輯設局，最終損失超過 750 萬美元。

攻擊者花數週布局，利用假流動性池設下陷阱

這名多年來透過「三明治攻擊」從交易者身上獲利的 MEV 玩家，這次反而成為受害者。

資安公司 Blockaid 表示，此次事件並非一般釣魚攻擊，也不是合約漏洞導致，而是攻擊者精心設計的一場「誘捕行動」，成功操縱機器人的決策系統。

根據 Blockaid 分析，攻擊者在數週內部署數十個假代幣合約與虛假的流動性池，偽裝成具有套利空間的交易機會。

部分代幣甚至刻意模仿 WETH、USDC 與 USDT 等常見資產，使其看起來像是真實的去中心化交易所流動性池。

這些誘餌成功騙過 Jaredfromsubway.eth 的 MEV 機器人。當機器人偵測到看似存在獲利空間後，便自動授權（Approval）由攻擊者控制的輔助合約代為操作資產。

在初期測試中，這些授權會在交易完成後立即使用，但後續攻擊者刻意設計新的交易路徑，使部分授權在交易結束後仍持續有效。

由於授權未被撤銷，攻擊者取得持續提取資產的權限，隨後直接從 Jaredfromsubway.eth 的合約中轉出大量 WETH、USDC 與 USDT。

根據 CoinDesk 檢視鏈上數據，遭竊資產總價值超過 750 萬美元，其中部分資金事後已被轉入混幣協議 Tornado Cash，試圖掩蓋資金流向。

三明治攻擊每年讓交易者損失約 6,000 萬美元

Jaredfromsubway.eth 自 2023 年初開始活躍，是以太坊生態中最具代表性的 MEV 參與者。

所謂三明治攻擊，是指機器人監控記憶池（Mempool）中的待確認交易，在用戶交易前搶先買入，待用戶以較差價格成交後，再迅速賣出獲利，等同於向交易者徵收一筆隱形稅。

雖然這類行為不屬於傳統駭客攻擊，但在加密社群中長期被視為掠奪性策略，不僅提高 Gas 費，也不會為網路或使用者帶來任何價值。

統計顯示，2024 年 11 月至 2025 年 10 月期間，以太坊每月發生約 6 萬至 9 萬次三明治攻擊，估計每年造成交易者約 6,000 萬美元損失。其中約 70% 的攻擊都與 Jaredfromsubway.eth 有關。

連 Vitalik 幾美元的交易都不放過

CoinDesk 曾於今年 5 月報導，Jaredfromsubway.eth 甚至連以太坊共同創辦人 Vitalik Buterin 的小額交易都不放過。

當時機器人動用約 114 萬美元資金提前搶跑 Vitalik 的交易，最終僅獲利約 4 美元，扣除手續費後甚至幾乎沒有賺錢。

儘管收益微乎其微，但事件顯示該機器人已高度工業化，會持續掃描記憶池中的所有交易，試圖從任何交易中插入獲利機會。