El robot comercial JaredfromSubway sufrió un robo de 7,5 millones de dólares el sábado, lo que expuso su lógica central a un actor malicioso y llevó al operador del robot a ofrecer una recompensa por el exploit.
Resumen del ataque
El incidente se desarrolló cuando un atacante inundó el bot con transacciones engañosas, aprovechando tokens falsificados y contratos inteligentes fraudulentos. Blockaid, la empresa de seguridad que monitorea la violación, informó que el plan permitió al perpetrador desviar fondos legítimos mientras el robot continuaba escaneando en busca de operaciones rentables.
Mecánica de la hazaña
Jaredfromsubway normalmente ejecuta ataques sándwich: coloca órdenes antes y después de las operaciones pendientes para manipular la ejecución de precios en intercambios descentralizados. En este caso, se engañó al robot para que concediera permiso para mover activos, un paso necesario para su estrategia automatizada, que el atacante aprovechó para drenar capital.
Consecuencias e impacto en el mercado
Tras la filtración, una parte de la criptomoneda robada fue enrutada a través de Tornado Cash, un mezclador de la cadena de bloques centrado en la privacidad. Los inversores que observaron el incidente notaron un mayor escrutinio de los robots de comercio automatizado, mientras que el mercado de criptomonedas absorbió el shock sin un cambio notable en los niveles generales de precios.