Jaredfromsubway.eth, un destacado bot MEV, perdió más de 7,5 millones de dólares después de que un atacante secuestrara su sistema de ejecución automatizada el sábado, lo que obligó al bot a otorgar aprobaciones de tokens que luego fueron desviadas.
Mecánica de ataque
El agresor introdujo tokens envoltorios y fondos de liquidez falsos, incluidos Wrapped Ether (fWETH) falsos, USDC (fUSDC) falsos, USDT falsos (fUSDT) y un token Cap falso (fCAP). Estos activos sintéticos imitaban rutas de arbitraje rentables, lo que llevó a Jaredfromsubway.eth a aprobarlos automáticamente. Una vez que se obtuvieron las aprobaciones, el atacante transfirió los activos autorizados, vaciando las existencias del bot.
Consecuencias del mercado
Blockaid aclaró que la infracción no se ajusta al perfil de un esquema de phishing clásico ni a una falla de contrato inteligente convencional, destacando un vector novedoso para explotar la automatización MEV. Cointelegraph Research estima que los ataques sándwich a Ethereum generan aproximadamente $60 millones en pérdidas anuales para los comerciantes, con ocurrencias mensuales entre noviembre de 2024 y octubre de 2025 que oscilan entre 60.000 y 90.000. Aproximadamente el 70% de esos ataques han estado vinculados a Jaredfromsubway.eth, lo que subraya la amplia influencia del bot en el mercado de las criptomonedas.
Perspectivas futuras
Los inversores ahora están examinando la seguridad de los robots MEV de alta frecuencia, temiendo que exploits similares puedan erosionar la confianza en las plataformas DeFi. El incidente sirve como advertencia para que los desarrolladores de blockchain refuercen los mecanismos de aprobación automatizados contra interacciones contractuales engañosas. El seguimiento continuo por parte de las empresas de seguridad tiene como objetivo evitar drenajes comparables, preservando la estabilidad del ecosistema criptográfico más amplio.