El colapso del gigante: el bot MEV Jaredfromsubway.eth perdió 7,5 millones de dólares en un ataque sofisticado

Uno de los bots MEV más famosos y agresivos de la red Ethereum, conocido bajo el seudónimo Jaredfromsubway.eth, ha sufrido pérdidas catastróficas. Como resultado de un complejo ataque informático, el atacante logró retirar activos por un valor superior a los 7,5 millones de dólares.
¿Cómo se llevó a cabo el ataque?
No se trató de un pirateo estándar de un contrato inteligente ni de un ataque de phishing clásico. El atacante utilizó una táctica mucho más sofisticada. Desplegó decenas de contratos de tokens falsos, disfrazados de activos líquidos populares: WETH, USDC y USDT. Estos tokens falsos estaban vinculados a pools de liquidez falsos que parecían operaciones atractivas y rentables.
Es precisamente en este tipo de oportunidades «rentables» en las que se centran los bots MEV, que buscan arbitraje y oportunidades para ataques sandwich. El sistema automatizado de Jaredfromsubway.eth, al reconocer una operación «rentable», otorgó a los contratos auxiliares del atacante permisos para gastar activos reales. Una vez obtenidos los permisos, el hacker activó con una sola transacción todas las puertas traseras programadas y retiró los fondos al instante. Parte de las monedas robadas ya han sido enviadas al mezclador de criptomonedas Tornado Cash para ocultar el rastro.
Contexto e impacto
Jaredfromsubway.eth ha dominado durante mucho tiempo el ámbito de MEV en Ethereum, especialmente en el segmento de ataques sandwich. Según mis datos, desde noviembre de 2024 hasta octubre de 2025, en la red se registraban mensualmente entre 60 000 y 90 000 de estas operaciones, y aproximadamente el 70% de ellas correspondían precisamente a este bot. Las pérdidas anuales de los traders por ataques sandwich se estiman en unos 60 millones de dólares.
Cabe destacar que ya en junio de 2024, este bot era el mayor consumidor de gas en la red Ethereum, lo que subraya su escala y agresividad.
Mi análisis: Este incidente es un claro ejemplo de cómo incluso los sistemas automatizados más complejos y rentables pueden ser engañados. El ataque no fue una vulneración técnica del código, sino una explotación de la propia lógica de funcionamiento del bot MEV, de su «codicia» por las ganancias. Es una señal grave para toda la comunidad de desarrolladores de estrategias MEV: es necesario implementar una verificación más profunda de los contratos y pools de liquidez, en lugar de confiar únicamente en indicadores superficiales de rentabilidad. La pérdida de 7,5 millones de dólares es una lección dolorosa, pero instructiva.