Un atacante vació jaredfromsubway.eth, uno de los bots "sandwich" MEV más activos en Ethereum, el sábado al engañar a su sistema de comercio automatizado para que aprobara contratos controlados por el atacante, según analistas onchain.
Blockaid valoró los activos rastreados hasta el atacante en aproximadamente 7.5 millones de dólares en WETH, USDC y USDT. El operador del bot es pseudónimo y no ha hecho una declaración pública verificada; en una entrevista de 2023, un representante del bot afirmó no tener cuentas públicas en redes sociales.
El bot, etiquetado por Etherscan como "jaredfromsubway: MEV Bot 2", ha realizado ataques "sandwich" a traders de Ethereum desde principios de 2023 y se encuentra entre los operadores MEV más prolíficos de la red. Su nombre, una referencia al desacreditado portavoz de Subway y delincuente sexual infantil convicto Jared Fogle, es una alusión astuta a su práctica de ataques sándwich, en los que un bot de trading automatizado coloca operaciones en ambos lados de una transacción pública para extraer artificialmente más valor de los usuarios, una forma de valor máximo extraíble o MEV.
El vaciado fue señalado por primera vez el sábado por el analista onchain Specter, quien indicó una pérdida de más de 7 millones de dólares de una billetera vinculada al bot. Los datos onchain mostraron que el barrido se ejecutó a las 18:49 UTC y movió 1.474,58 WETH, aproximadamente 2,87 millones de USDC y cerca de 2 millones de USDT a una dirección de atacante en una sola transacción.
Blockaid afirmó que el incidente no fue un ataque de phishing, un compromiso de clave privada o una falla en un protocolo DeFi ampliamente utilizado. La firma dijo que los contratos controlados por el atacante indujeron al sistema de ejecución del bot a otorgar aprobaciones de tokens que luego se utilizaron para mover fondos.
Durante varias semanas, el atacante desplegó 66 contratos de tokens falsificados que imitaban WETH, USDC y USDT, y luego los emparejó con piscinas de liquidez falsas, según Blockaid. Para el bot, las rutas se parecían a las oportunidades rentables que está diseñado para encontrar.
El bot aprobó contratos auxiliares controlados por el atacante para gastar sus tokens reales. En pequeñas pruebas, las aprobaciones se consumieron dentro de la operación como se esperaba, dijo Blockaid. Sin embargo, en transacciones de cebo más grandes, el atacante estructuró las rutas de modo que las aprobaciones permanecieran abiertas.
Un informe forense publicado el domingo por el desarrollador pseudónimo banteg describió el mecanismo como un interruptor de bloqueo armado. El mismo diseño de contrato hijo se comportó como un 'wrapper' normal que consume el principal en pequeños lotes de prueba 'desarmados' que entregaron al bot pequeñas ganancias reales, luego actuó como una 'fake mint' en grandes lotes 'armados' que dejaron sus aprobaciones intactas, según el informe.
El informe identificó 16 asignaciones de WETH activas de aproximadamente 92,16 WETH cada una, que en conjunto coincidían con los 1.474,58 WETH barridos en el vaciado final.
La transacción final fue un barrido directo en lugar de una operación. Un contrato coordinador llamó a "withdraw" en 66 contratos hijos a la vez, cada uno extrayendo el saldo del bot hasta su asignación abierta y reenviándolo al atacante.
El atacante intercambió los activos robados por aproximadamente 4.427 ETH, valorados en unos 7,7 millones de dólares, y depositó 1.000 ETH en el mezclador previamente sancionado Tornado Cash, según el rastreador onchain Lookonchain.
El informe también señaló que la dirección receptora era una cuenta delegada EIP-7702, una característica de la actualización Pectra de Ethereum de 2025 que permite a una billetera estándar ejecutar código de contrato.
Una cuenta de X que utilizaba el nombre jaredfromsubway.eth, con el identificador @jaredsmev, publicó que el bot había perdido 15 millones de dólares y ofreció una recompensa de 1 millón de dólares por la devolución de los fondos, pidiendo a los informantes que se pusieran en contacto con ella en privado. Varios comentaristas onchain señalaron la cuenta como un impostor en lugar del operador del bot.
La cuenta ha cambiado de nombre de usuario ocho veces, la más reciente este mes, y tiene un historial de publicaciones promocionales, incluyendo un 'shill' de tokens y una oferta de sorteo, según su perfil público. The Block no pudo verificar ningún vínculo entre la cuenta y el bot, y ninguna firma de seguridad ha rastreado una pérdida superior a aproximadamente 7,5 millones de dólares.
El bot jaredfromsubway.eth ha sido uno de los nombres más reconocibles en la economía MEV de Ethereum. Una versión "Jared 2.0" que surgió en 2024 procesó más de 85.000 transacciones, y el operador en un momento dado se clasificó como el mayor gastador diario de gas de Ethereum.
En mayo, el bot llamó la atención por realizar un ataque "sandwich" a un pequeño swap del cofundador de Ethereum, Vitalik Buterin, comprometiendo más de 1,14 millones de dólares en WETH para anticipar una operación valorada en unos pocos dólares.
La identidad del atacante, y si otros contratos o fondos se vieron afectados, seguía sin estar clara al momento de la publicación.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. A partir de noviembre de 2023, Foresight Ventures es inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El intercambio de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block sigue operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni se pretende utilizar como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
