Jaredfromsubway.eth, uno de los bots MEV más exitosos de las criptomonedas, fue vaciado por más de 7,5 millones de USD después de que un atacante convirtiera la lógica de ejecución automatizada del bot en su contra. El ataque usó una metodología de contra-MEV honeypot que explotó el sistema de toma de decisiones automatizadas del bot al engañarlo para que concediera aprobaciones de tokens a contratos controlados por el atacante. Los bots MEV monitorean transacciones pendientes en blockchain e intentan obtener ganancias controlando el orden de las transacciones, a menudo mediante ataques sandwich y otras estrategias de extracción de valor máximo en Ethereum.
El incidente marca un revés público poco común para un bot que se ha asociado estrechamente con los ataques sandwich en Ethereum. Para los usuarios de DeFi, la actividad de los bots MEV puede funcionar como un costo invisible adherido al trading onchain.
El atacante desplegó un Counter-MEV Honeypot usando 66 contratos de tokens falsos
El ataque no se basó en un flujo de phishing estándar ni en un bug directo en los contratos inteligentes del bot. En su lugar, los contratos controlados por el atacante engañaron al sistema automatizado de Jaredfromsubway.eth para que otorgara aprobaciones de tokens que luego se utilizaron para vaciar fondos de la tesorería del bot.
"Esto no es un ataque de phishing clásico y no es una vulnerabilidad tradicional de contrato inteligente en el contrato víctima", dijo Blockaid.
Durante varias semanas, el atacante desplegó 66 contratos de tokens falsos que copiaron los nombres y las interfaces de Wrapped ETH, USDC y USDT. Esos tokens falsos se emparejaron luego con pools de liquidez falsos diseñados para parecerse a oportunidades de trading rentables.
El director de tecnología de Blockaid, Raz Niv, describió el incidente como un contra-MEV honeypot. "Este fue un ataque de counter-MEV honeypot, ya que apuntó específicamente a la lógica automatizada de toma de decisiones, minimizada en cuanto a confianza, que utilizan los bots MEV", dijo.
Cuando Jaredfromsubway.eth interactuó con el entorno falso, aprobó contratos auxiliares controlados por el atacante para gastar activos reales en su nombre. Esas aprobaciones le dieron al atacante una vía hacia la tesorería del bot.
"De forma irónica, en el proceso le proporcionó al atacante las llaves de millones en la tesorería del bot", dijo Niv.
Luego, el atacante ejecutó una única transacción llamando a los 66 backdoors, barriendo ETH, USDC y USDT desde las direcciones afectadas. Los datos onchain mostraron que algunos de los fondos robados luego se enviaron a Tornado Cash, un servicio de mezcla de criptomonedas que a menudo se usa para ocultar el movimiento de fondos.
Jaredfromsubway.eth asociado con 70% de los ataques sandwich entre noviembre de 2024 y octubre de 2025
Jaredfromsubway.eth ha sido durante mucho tiempo uno de los ejemplos más visibles de actividad MEV en Ethereum. La investigación ha estimado que los ataques sandwich en Ethereum han causado alrededor de 60 millones de USD en pérdidas anuales para los traders. Entre noviembre de 2024 y octubre de 2025, los ataques sandwich supuestamente oscilaron entre 60.000 y 90.000 por mes, con aproximadamente 70% asociado con Jaredfromsubway.eth.
En la mayoría de hacks de DeFi, los usuarios o los protocolos son las víctimas directas. En este caso, el objetivo era un bot ampliamente visto como extrayendo valor de traders ordinarios. El incidente no elimina el problema más amplio de MEV, pero muestra que la misma automatización usada para capturar ganancias puede generar una exposición concentrada cuando los bots interactúan con contratos hostiles.
El ataque también resalta que los bots crean patrones conductuales predecibles que los atacantes pueden estudiar. Cuando esos patrones implican aprobaciones, lógica de enrutamiento o interacciones repetidas con contratos desconocidos, el propio bot puede convertirse en un objetivo.
El cofundador de Ethereum Vitalik Buterin fue atacado previamente en un sandwich por Jaredfromsubway.eth mientras intercambiaba una cantidad pequeña de DigitalBits, mostrando que incluso transacciones de bajo valor pueden ser objetivo de sistemas MEV. La pérdida fue mínima, pero el ejemplo mostró cuán indiscriminados pueden ser estos bots.
El inversor y comentarista cripto David Gokhshtein enmarcó la reacción pública en términos contundentes. "No deberíamos estar contentos con esto; nadie debería celebrar … pero si alguna vez te hicieron un sandwich con esto … estoy bastante seguro de que no te molestó esta noticia", dijo.
El CTO de Blockaid describe el ataque como orientado a la lógica automatizada de toma de decisiones con minimización de confianza
El atacante construyó una trampa alrededor del propio modelo de incentivos del bot. Los bots MEV están diseñados para identificar y ejecutar oportunidades rentables rápidamente, con una revisión humana limitada. En este caso, esa toma de decisiones automatizada se convirtió en la superficie de ataque.
El director de tecnología de Blockaid, Raz Niv, dijo que el incidente apuntó específicamente a la lógica automatizada, minimizada en confianza, de toma de decisiones que utilizan los bots MEV. La configuración le dio al bot lo que parecía ser operaciones con valor suficiente como para perseguirlas, lo que llevó a que concediera aprobaciones que, en última instancia, proporcionaron acceso a millones en la tesorería del bot.
Es probable que el incidente lleve a los operadores de MEV a revisar cómo los sistemas automatizados manejan aprobaciones, verificación de tokens y validación de pools de liquidez. Los nombres de tokens falsos y las interfaces familiares no son suficientes para establecer confianza, especialmente cuando los bots operan a velocidades que dejan poco margen para comprobaciones manuales.
FAQ
¿Qué le pasó al bot MEV de Jaredfromsubway.eth?
Jaredfromsubway.eth fue vaciado por más de 7,5 millones de USD después de que un atacante usara un ataque de counter-MEV honeypot. El atacante desplegó 66 contratos falsos de tokens durante varias semanas que imitaron Wrapped ETH, USDC y USDT, engañando al bot para que otorgara aprobaciones de tokens a contratos controlados por el atacante. Luego, el atacante ejecutó una única transacción llamando a los 66 backdoors para barrer fondos de la tesorería del bot.
¿Cuánta actividad MEV se asoció con Jaredfromsubway.eth?
Entre noviembre de 2024 y octubre de 2025, los ataques sandwich en Ethereum supuestamente oscilaron entre 60.000 y 90.000 por mes, con aproximadamente 70% asociado con Jaredfromsubway.eth. La investigación ha estimado que los ataques sandwich en Ethereum han causado alrededor de 60 millones de USD en pérdidas anuales para los traders.
¿Qué dijo Blockaid sobre el método de ataque?
Blockaid afirmó que esto no era un ataque de phishing clásico y no era una vulnerabilidad tradicional de contrato inteligente en el contrato víctima. El director de tecnología de Blockaid, Raz Niv, describió el incidente como un ataque de counter-MEV honeypot que apuntó específicamente a la lógica automatizada de toma de decisiones minimizada en confianza que utilizan los bots MEV.
