Atacante drena USD $7,5 millones del famoso bot “Jaredfromsubway”

El cazador cazado: Bot MEV pierde $7.5M por manipulación

El famoso bot de ataques sandwich en Ethereum, Jaredfromsubway.eth, fue víctima de un sofisticado ataque que le costó más de $7.5 millones. El incidente no explotó una vulnerabilidad técnica, sino que manipuló su propio sistema de decisiones automatizadas.

• Atacante drenó $7.5M en WETH, USDC y USDT.
• Utilizó contratos falsos y señales engañosas durante semanas.
• El bot concentra ~70% de los ataques sandwich en Ethereum.
• Fondos robados fueron enviados a Tornado Cash.

La trampa: señuelos y permisos persistentes

La firma de seguridad Blockaid detalló que el atacante construyó un entorno falso con decenas de contratos de tokens y pools de liquidez simulados, imitando activos como WETH, USDC y USDT. El objetivo era engañar al bot para que generara permisos de gasto en contratos auxiliares.

En pruebas iniciales, esos permisos se cerraban automáticamente. Sin embargo, el atacante modificó las transacciones para que algunas autorizaciones quedaran abiertas. Una vez obtenidos esos permisos persistentes, simplemente retiró los fondos directamente de las billeteras del bot.

Ironía del ecosistema MEV

Jaredfromsubway.eth es conocido por ejecutar ataques sandwich, una práctica que extrae valor de los usuarios al adelantarse a sus transacciones. Se estima que estos ataques cuestan $60 millones anuales a los usuarios de Ethereum, y este bot era responsable del 70% de ellos.

El incidente demuestra que los sistemas automatizados de trading, aunque veloces, son vulnerables cuando operan solo basándose en patrones de rentabilidad. El atacante no necesitó romper la seguridad del bot; bastó con alimentarlo con señales falsas para que su propia lógica lo llevara a la ruina.