午方 AI 獲悉，6 月 21 日，以太坊上知名的三明治套利機器人 Jaredfromsubway.eth 遭遇精準攻擊，地址內的 WETH、USDC 等資產被轉走，初步統計損失超 750 萬美元。此次事件並非源於私鑰泄露或傳統智能合約漏洞，而是攻擊者利用 Approval 授權機制，在技術層面"合法"地轉移了資產。截止發文時，Jaredfromsubway.eth 已通過鏈上消息向攻擊者公開喊話，表示若在 48 小時內歸還 2150 枚 ETH，願意支付五成白帽賞金，否則將採取一切可行的法律及執法手段追責。

午方 AI 梳理發現，這並非一次偶然的漏洞觸發，而是一場針對 Jaredfromsubway.eth 交易邏輯設計的長期圍獵。作爲以太坊上最頂級的 MEV 機器人之一，該策略要求系統持續掃描鏈上交易，以極快速度判斷套利機會並組織交易路徑。攻擊者正是利用這一特點，花費數週時間構造了一組看似能盈利的交易環境，誘導機器人主動調用新合約並交出資產調用權。這種攻擊方式利用了 MEV 機器人追求自動化執行和速度優先的機制，使其在計算價差和 Gas 成本時，忽略了對新出現合約的身份驗證。

深入分析可知，Approval 是以太坊及 EVM 兼容鏈 ERC-20 標準中的底層設計，是 DeFi 正常運轉的基礎。用戶在 DEX、借貸或添加流動性等場景下，必須通過 Approve 授權智能合約代表自己調用代幣。例如在 Uniswap 上用 USDT 換 ETH 時，必須先授權合約划走特定數量的 USDT。

然而，這一機制類似於支付寶或微信的自動扣款權限：一旦授權生效，後續扣款無需用戶再次確認。爲了減少重複授權產生的操作和 Gas 成本，不少 DApp 默認申請無限授權，導致用戶可能允許合約動用地址內的全部資產，即便當時錢包內僅有少量資金。

午方 AI 注意到，許多用戶誤將"斷開錢包連接"等同於"撤銷授權"，實際上斷開連接僅阻止網頁讀取錢包，無法改變已寫入區塊鏈的 Approval。關閉網頁、刪除 DApp 或更換錢包應用均不會使授權自動失效。更深層的風險在於，用戶可能向當時正常的協議授予權限，但隨後該協議合約遭到攻擊、管理員密鑰泄露或路由合約出現問題，導致資產被惡意調用。因此，Approval 風險不僅在於是否授權給惡意方，更在於授權對象未來的安全性。

面對此類風險，單純依靠用戶的安全意識和定期檢查遠遠不夠。真正的解決方案是將 Approval 從一次性確認動作轉變爲持續的權限管理機制。普通用戶應建立不無限授權、定期檢查並撤銷不必要權限的習慣。

同時，錢包產品需提供主動防禦能力，如 imToken 對風險代幣、地址和 DApp 進行標記或攔截，並在簽名前對內容進行結構化解析與可讀化呈現，幫助用戶理解正在同意的內容。隨着 ERC-7730 等 Clear Signing 標準的推進，這種"所見即所籤"的展示方式有望成爲行業標準。

午方 AI 分析認爲，私鑰決定賬戶所有權，而 Approval 決定誰能調用賬戶資產，兩者同等重要。對用戶而言，需在授權前看清對象和額度，交互結束後及時清理權限；對錢包而言，則需讓隱藏在合約中的權限更可見、易理解且便於限制和撤銷。畢竟，真正危險的未必是剛剛發生的轉賬，而是一個早已被遺忘卻始終未失效的授權。