MEV-бот Jaredfromsubway.eth perdió $7,5 millones en un ataque sofisticado a través de grupos de liquidez falsos.
El conocido bot MEV Jaredfromsubway.eth, que opera en la red Ethereum, perdió activos por valor de más de 7,5 millones de dólares. Según mis datos, el incidente no ocurrió debido a una vulnerabilidad estándar de contrato inteligente o phishing, sino como resultado de un complejo esquema de manipulación dirigido al sistema de ejecución automatizada del bot.
Especialistas en seguridad de Blockaid señalaron que el atacante desplegó docenas de contratos de tokens falsos, disfrazados como WETH, USDC y USDT, y los vinculó a grupos de liquidez falsos. Estas construcciones simulaban oportunidades comerciales rentables a las que los bots MEV suelen reaccionar para realizar ataques de sándwich. El atacante engañó al sistema, haciendo que emitiera permisos para gastar activos reales a contratos auxiliares, tras lo cual, con una sola transacción, activó todas las puertas traseras y retiró los fondos. Parte de las monedas robadas ya fueron transferidas a Tornado Cash.
Es importante destacar que este caso no es un ataque clásico al contrato inteligente de la víctima. Se trata más bien de un ataque a la propia lógica de toma de decisiones del bot MEV, lo que lo hace especialmente peligroso para este tipo de sistemas automatizados.
Los datos de Arkham confirman que el atacante actuó a través de contratos controlados, no directamente. Es interesante que, según estimaciones, las pérdidas anuales de los traders en Ethereum por ataques de sándwich ascienden a unos 60 millones de dólares. Además, desde noviembre de 2024 hasta octubre de 2025, se registraron entre 60.000 y 90.000 operaciones de este tipo al mes en la red, y alrededor del 70% de ellas se vinculaban precisamente con Jaredfromsubway.eth. Recordemos que en junio de 2024, este bot era el mayor consumidor de gas en la red Ethereum.
Mi análisis: Este ataque demuestra una vulnerabilidad fundamental de los bots MEV: sus algoritmos, configurados para buscar arbitraje, pueden ser engañados por señales creadas artificialmente. En un contexto donde estos bots controlan una parte significativa de la actividad de la red, incidentes como este socavan la confianza en las estrategias automatizadas y exigen una revisión de los mecanismos de verificación de datos a nivel de contratos inteligentes.