El mayor bot de sandwich de Ethereum pierde 7,5 millones de dólares en un exploit
El bot MEV jaredfromsubway.eth fue drenado por más de 7,5 millones de dólares después de que un atacante aprovechara su propia lógica automatizada de trading. Según Blockaid, el ataque no fue un phishing tradicional ni un simple fallo de contrato, sino una manipulación de aprobaciones generadas por el bot.
¿Qué pasó?
El bot MEV jaredfromsubway.eth fue drenado por más de 7,5 millones de dólares después de que un atacante aprovechara su propia lógica automatizada de trading. Según Blockaid, el ataque no fue un phishing tradicional ni un simple fallo de contrato, sino una manipulación de aprobaciones generadas por el bot.
¿Por qué importa?
El caso importa porque muestra un riesgo poco visible dentro de la infraestructura automatizada que opera a gran velocidad en DeFi. Los bots de sandwich buscan transacciones pendientes, compran antes de la operación de otro usuario y venden justo después, una práctica que puede encarecer la ejecución para los traders y elevar las comisiones de gas sin aportar valor directo al usuario o a la red.
Jaredfromsubway.eth, uno de los bots MEV más conocidos de Ethereum, perdió más de 7,5 millones de dólares después de que un atacante usara su propia lógica de trading automatizado en su contra. La firma de seguridad Blockaid dijo que el atacante engañó al bot para aprobar rutas de intercambio falsas y luego utilizó esas autorizaciones para drenar WETH, USDC y USDT.
El caso importa porque muestra un riesgo poco visible dentro de la infraestructura automatizada que opera a gran velocidad en DeFi. Los bots de sandwich buscan transacciones pendientes, compran antes de la operación de otro usuario y venden justo después, una práctica que puede encarecer la ejecución para los traders y elevar las comisiones de gas sin aportar valor directo al usuario o a la red.
Según CoinDesk, el atacante preparó la operación durante varias semanas desplegando decenas de tokens y pools de liquidez falsos que parecían oportunidades rentables. Algunos imitaban activos conocidos como wrapped ether y las stablecoins USDC y USDT, lo que llevó al bot a generar aprobaciones para contratos auxiliares controlados por el atacante.
En pruebas iniciales, esas aprobaciones se usaban de inmediato dentro de la operación. Más adelante, el atacante diseñó rutas en las que los permisos quedaban abiertos, lo que le dio autorización persistente para mover fondos desde los contratos vinculados a jaredfromsubway.eth. Parte de los fondos robados fue enviada posteriormente a Tornado Cash, de acuerdo con datos on-chain revisados por CoinDesk.
La ironía del episodio se debe al papel histórico del bot en el ecosistema MEV de Ethereum. CoinDesk señala que jaredfromsubway.eth ha estado asociado con alrededor del 70% de los ataques de sandwich en Ethereum, una actividad que habría costado a los traders unos 60 millones de dólares al año. El incidente no reduce el daño que causan esas prácticas, pero sí expone cómo sistemas basados en señales de beneficio y reconocimiento de patrones también pueden convertirse en víctimas.