- Un atacante drenó más de 7,5 millones de dólares del conocido bot MEV de Ethereum jaredfromsubway.eth explotando su lógica de trading automatizado, en lugar de un bug contractual tradicional o una estafa de phishing.
- Durante varias semanas, el atacante atrajo al bot para que aprobara contratos auxiliares maliciosos mediante tokens falsos y pools de liquidez que imitaban activos como WETH, USDC y USDT, y luego utilizó esas aprobaciones abiertas para extraer fondos y enrutar parte de ellos a través de Tornado Cash.
- El incidente subraya tanto la escala como los riesgos de la actividad industrializada de los Sandwich Bots —jaredfromsubway.eth ha sido responsable de aproximadamente el 70% de los ataques sandwich en Ethereum, que cuestan a los traders alrededor de 60 millones de dólares al año— al mostrar cómo los sistemas basados en patrones y velocidad de máquina pueden convertirse ellos mismos en víctimas.
Jaredfromsubway.eth, uno de los bots MEV más notorios de Ethereum, ha sido vaciado de más de 7,5 millones de dólares después de que un atacante volviera la propia lógica de trading automatizado del bot en su contra.
El bot es conocido por los ataques sandwich, una forma de valor máximo extraíble, o MEV, en la que un trader automatizado detecta una transacción pendiente, compra por delante de ella, deja que la víctima opere a un precio peor y luego vende de inmediato.
El resultado es un pequeño impuesto oculto para los usuarios que puede acumularse a lo largo de miles de operaciones.
Los atacantes sandwich no suelen ser considerados una forma de exploit, sino que en los círculos cripto se los percibe como un tipo de comportamiento predatorio que extrae valor de los usuarios, provoca un aumento en las tarifas de gas y no beneficia ni a la red ni al usuario.
La firma de seguridad Blockaid indicó que el incidente del sábado no fue un ataque de phishing normal ni un simple bug en el contrato víctima. En cambio, el atacante apuntó al sistema de toma de decisiones del bot.
La trampa se construyó durante varias semanas, en las que el atacante desplegó decenas de contratos de tokens falsos y pools de liquidez falsas —un término para un conjunto de tokens bloqueados en un exchange descentralizado— que parecían operaciones rentables. Algunos imitaban activos conocidos como wrapped ether (WETH) y las stablecoins vinculadas al dólar USDC y USDT.
El cebo funcionó como estaba previsto. El bot de jaredfromsubway.eth vio lo que parecían oportunidades MEV y generó aprobaciones para que contratos auxiliares controlados por el atacante gastaran tokens en su nombre. Esas aprobaciones se utilizaron de inmediato como parte de la operación en pruebas anteriores, pero más tarde el atacante creó rutas donde las aprobaciones permanecían abiertas.
Esto dejó al atacante con permiso permanente para extraer fondos. Y utilizaron esas aprobaciones abiertas para transferir WETH, USDC y USDT fuera de los contratos de jaredfromsubway.eth, drenando más de 7,5 millones de dólares.
Parte de los fondos robados fueron enviados posteriormente a Tornado Cash, según mostraron los datos onchain revisados por CoinDesk.
La ironía era difícil de ignorar, mientras tanto.
Jaredfromsubway.eth ha sido durante mucho tiempo uno de los símbolos más visibles del MEV tóxico en Ethereum. Los ataques sandwich cuestan a los traders de Ethereum alrededor de 60 millones de dólares al año, con entre 60.000 y 90.000 ataques por mes entre noviembre de 2024 y octubre de 2025.
Aproximadamente el 70% de esos ataques estuvieron asociados a jaredfromsubway.eth, que ha estado activo desde principios de 2023.
CoinDesk informó en mayo de que el mismo bot había llegado incluso a hacer un ataque sandwich a un pequeño swap del cofundador de Ethereum, Vitalik Buterin. Destinó 1,14 millones de dólares para adelantarse a la operación de Buterin y obtener solo 4 dólares (tras las comisiones, el bot perdió unos pocos dólares en esa operación en particular).
La operación valía solo unos pocos dólares y la pérdida fue mínima, pero mostró el nivel de industrialización que había alcanzado el bot. Estaba escaneando el mempool en busca de prácticamente cualquier transacción alrededor de la cual pudiera insertarse.
Si bien el incidente del sábado no hace que los ataques sandwich sean menos dañinos, sí muestra el riesgo de ejecutar sistemas que aprueban transacciones a velocidad de máquina basándose en reconocimiento de patrones y señales de beneficio.
Jaredfromsubway.eth pasó años obteniendo ganancias de traders que no vieron llegar al bot. Pero el sábado, el bot tampoco vio llegar la operación.
