三年 DeFi 老用户的盲点
Marcus 是旧金山的 MEV 玩家,三年 DeFi 老用户。2025 年 1 月 8 日他栽进一个假 Flashbots Protect RPC,七天里被慢性抽水 3 万美元。根因不在他不懂 MEV,在他对「Flashbots Protect」这个品牌的反射太强 —— 看到推文教程就跳过了「这个 RPC URL 是不是真的」这一步。他没去 docs.flashbots.net 核对 endpoint,因为他「已经知道 Flashbots Protect 是什么」、懒得验证 URL。
URL 里三个该警觉的细节
RPC URL 的格式。真 Flashbots Protect 是 https://rpc.flashbots.net —— 单一固定 endpoint、无密钥参数、不带子域名变体。教程里那个 URL 三个细节全错:
- 子域名结构是 flashbots-protect[.]xyz 而不是 rpc.flashbots.net(域名变体钓鱼)
- 路径里要求带「你的密钥」参数 —— 真 Flashbots Protect 不需要任何用户密钥
- TLD 是 .xyz 不是 .net —— 真品牌域名几乎都在 .net / .com / .io
这三个细节里任何一个都足够让他刹车。但他没刹,因为他眼睛扫过 URL 的时候大脑只识别到「flashbots」这个 token 就 commit 了。
切完 RPC 后他用了一周。每次他用 MetaMask 发起交易都先经过那个 RPC —— 攻击者控制的中继节点。所有经过的交易被它前置 / 后置 sandwich、滑点榨干、利润归攻击者。一周后他做了一笔 11 万 USDC 的 swap,链上结果与预期严重不符 —— 被 sandwich 走 5%,剩下的钱也只到账 8 万。他对比 Coingecko 那一刻的真实价格才意识到。
RPC 巡检 · 每月初做一次
这案教的不是「别用 Flashbots Protect」—— 真 Flashbots Protect 是 MEV 防御利器、值得用。这案教的是「品牌反射不等于核验」。任何你「以为已经知道」的工具,每次操作前花 10 秒在官方文档核对一下 endpoint URL。这 10 秒是绝对值得的,因为 RPC 是持续生效的信任点 —— 一旦设错,所有后续交易都被污染。
具体可操作的 RPC 巡检流程:
- MetaMask → Settings → Networks → 逐个看当前所有自定义网络的 RPC URL
- 常见安全 URL 是 https://rpc.flashbots.net、https://mainnet.infura.io、https://eth.llamarpc.com、https://cloudflare-eth.com 等
- 任何带「-protect.xyz / -rpc.app / 你的密钥参数 / 你不认识的子域名」的 URL 立刻删除
- 每月初做一次这个巡检 —— 因为你可能某次在咖啡馆点了一篇推文跟着切了某个网络的 RPC,事后忘了
- 教程让你切自定义 RPC —— 默认对所有自定义 RPC 高度警惕
- RPC URL 不是 rpc.flashbots.net / mainnet.infura.io 这种已知 endpoint
- RPC URL 带「你的私人密钥」参数 —— 真 Flashbots Protect 不需要这个
- 你最近做的几笔 swap 滑点都比预期大 —— 可能正在被 sandwich
- 教程发布者是匿名账号 + 转发都是水军 —— 真 Flashbots 文档在 docs.flashbots.net
这类损失的特殊之处是「持续抽水」不是「一次性盗刷」—— 假 RPC 没立刻盗你私钥(私钥在 MetaMask 本地、RPC 接触不到),但每一笔交易都被悄悄夹一刀。这种「慢性失血」让用户很难察觉,多数案例是受害者偶然对比 Coingecko 价格才发觉。立即把 MetaMask 的 RPC 切回 default(删除自定义网络重新添加用官方 RPC)。已被 sandwich 的资金部分追不回(攻击者通过套利合法获利),但被偷的金额按《私钥泄露应急 · 五步抢救流程》保留证据、报警、提交链上分析机构。
这个案例的真正用法不是看完点个收藏,而是把识别要点那几条记进脑子里。下次类似场景出现时,让你 3 秒内识破。