El mayor bot MEV de Ethereum perdió $7,5 millones debido a un complejo ataque con piscinas de liquidez falsas.

Uno de los bots MEV más famosos de la red Ethereum, Jaredfromsubway.eth, fue víctima de un sofisticado ataque de hackers. Las pérdidas superaron los $7,5 millones. El incidente fue detectado por el sistema de detección de exploits Blockaid y de inmediato atrajo la atención de toda la comunidad cripto.
Según datos de la plataforma analítica Arkham, parte de los fondos robados ya han sido transferidos a Tornado Cash. Esto indica que el atacante busca ocultar sus huellas y dificultar el rastreo de los activos.
¿Cómo se llevó a cabo el ataque?
Los expertos de Blockaid destacan que no se trata de un ataque de phishing clásico ni de una vulnerabilidad tradicional de un contrato inteligente. En su lugar, el atacante desplegó decenas de contratos de tokens falsos, disfrazados como activos populares: WETH, USDC y USDT. Estos contratos estaban vinculados a pools de liquidez falsos. Visualmente, estas estructuras parecían transacciones rentables, a las que los bots MEV suelen reaccionar para ejecutar ataques de sándwich.
El sistema automatizado de ejecución del bot fue engañado y otorgó a los contratos auxiliares del atacante permisos para gastar activos reales. Luego, el atacante activó todas las puertas traseras en una sola transacción y retiró los fondos.
Contexto y magnitud de la amenaza
Jaredfromsubway.eth no es solo un bot, sino un verdadero "ballena" entre los operadores MEV. Según estimaciones, las pérdidas anuales de los traders en Ethereum por ataques de sándwich ascienden a aproximadamente $60 millones. Además, desde noviembre de 2024 hasta octubre de 2025, se registraron entre 60 000 y 90 000 operaciones de este tipo al mes en la red, y alrededor del 70% de ellas estaban vinculadas precisamente a Jaredfromsubway.eth.
Recordemos que en junio de 2024, este bot se convirtió brevemente en el mayor consumidor de gas en Ethereum, lo que demuestra su enorme influencia en la red.
Opinión del experto: Este incidente demuestra una vulnerabilidad fundamental en las estrategias MEV automatizadas. Incluso los bots más complejos y rentables no están exentos de ataques basados en ingeniería social y manipulación de datos de liquidez. Para la comunidad, esto es una señal de alerta: los métodos tradicionales de protección de contratos inteligentes pueden ser inútiles si el atacante no ataca el código, sino la lógica de toma de decisiones del bot. El mercado necesita urgentemente nuevos protocolos de seguridad capaces de verificar no solo el código, sino también la autenticidad de los datos externos.