Jaredfromsubway.eth遭审批陷阱洗劫，损失约$7.5M

根据链上分析师和 Blockaid 的说法，以太坊最活跃的 MEV（矿工可提取价值）夹层机器人之一 Jaredfromsubway.eth 于周六遭洗劫，攻击者利用伪造代币合约和虚假流动性池，诱使其自动化交易系统向攻击者控制的合约授予授权。链上数据显示，18:49 UTC 的一笔单笔交易转出了 1,474.58 WETH、约 2.87 million USDC 和约 2 million USDT；Blockaid 对已追踪资产的估值约为 $7.5 million。根据 Lookonchain 的说法，攻击者随后将所得兑换为约 4,427 ETH，并向 Tornado Cash 存入 1,000 ETH。化名开发者 banteg 发布的取证报告称，此次攻击利用了一种“区块触发”开关：在小规模测试批次中行为正常，但在较大批次中会使授权保持敞口，从而让一个协调器合约得以对 66 个子合约调用“withdraw”，直接扫走资金，而非通过交易完成。报告还称，接收地址是一个 EIP-7702 委托账户。一个使用 jaredfromsubway.eth 名称的 X 账号声称损失达到 $15 million，并悬赏 $1 million 寻求资金返还，但多位评论人士指出该账号系冒充者，且没有任何安全公司核实损失超过约 $7.5 million。