El bot sándwich JaredFromSubway liquidado con un señuelo de contratos falsos, con una pérdida de aproximadamente 7,5 millones de dólares

La empresa de seguridad Blockaid divulgó el 21 de junio que el bot de ataques de sándwich con mala fama en la cadena de Ethereum, JaredFromSubway, fue atacado por atacantes que, durante semanas, desplegaron con esmero 66 contratos de tokens falsificados en forma de cebo; usaron la lógica automática de persecución de ganancias del bot para inducir su aprobación del gasto de tokens y, finalmente, vaciaron de una sola vez los activos reales en la cartera del bot.

Despliegue y lógica de ataque de 66 contratos de tokens falsificados

La preparación del atacante duró varias semanas: se desplegaron 66 contratos de tokens falsificados, con una apariencia que imitaba con precisión Wrapped Ether (WETH), USD Coin (USDC) y Tether (USDT), tres activos principales.

La lógica central de JaredFromSubway consiste en escanear continuamente el mempool de Ethereum, identificar y seguir rutas de arbitraje de tokens con alta liquidez; para el bot, estos contratos falsos no se distinguen en absoluto de las rutas reales. Como de costumbre, “huele” una oportunidad y aprueba el gasto de tokens hacia un contrato auxiliar controlado por el atacante.

Blockaid señaló: “El contrato controlado por el atacante engañó al sistema automático de ejecución MEV para que otorgara autorizaciones de tokens; estas autorizaciones luego se utilizaron para retirar fondos”. Solo con una autorización en una sola operación ya entregó más de 92 WETH. Al final, el último contrato aprovechó estas autorizaciones ya concedidas para limpiar en una sola vez los activos reales dentro de la cartera del bot; las transacciones on-chain se pueden consultar en Etherscan.

Rendimiento histórico de JaredFromSubway: ingresos brutos en su punto máximo de más de 34 millones a 40 millones de dólares

JaredFromSubway ha estado activo desde principios de 2023 y ya ha ejecutado cientos de miles de ataques de sándwich. En su pico, los ingresos brutos se estiman en 34 a 40 millones de dólares. Durante el período en el que MEV fue más agresivo, alrededor del 70% de los ataques de sándwich de Ethereum en toda la red cada mes provino de este bot.

En mayo de 2026, JaredFromSubway realizó un ataque de sándwich contra un intercambio de tokens de Vitalik Buterin, movilizando más de 1,14 millones de dólares en WETH para el asalto; el hecho generó gran atención. Casos similares de “caza MEV Bot” no son la primera vez: en 2023, un validador malicioso utilizó una lógica similar para extraer aproximadamente 25 millones de dólares de varios bots de sándwich; esta vez el método fue aún más preciso, reemplazando un único punto de ruptura por 66 contratos falsos.

Dos versiones de la cifra de pérdidas: 7,5 millones on-chain vs 15 millones de dólares según el diseñador

El análisis on-chain de Blockaid y PeckShield fijó las pérdidas en aproximadamente 7,5 millones de dólares. El diseñador de JaredFromSubway, tras el hecho, afirmó que si se incluyen las partes que no se ven directamente en la cadena, la pérdida total se acerca a 15 millones de dólares y que ya ofreció una recompensa de 1 millón de dólares, con la condición de que el atacante devuelva los fondos.

Preguntas frecuentes

¿Cómo hizo el atacante que JaredFromSubway otorgara permisos de tokens sin saberlo?

Según el análisis de Blockaid, los 66 contratos falsificados desplegados por el atacante imitan por completo los activos reales de alta liquidez (WETH, USDC, USDT); para la lógica automática de escaneo del bot, no hay diferencia respecto a las rutas reales. Después de que el bot identificara automáticamente “oportunidades de arbitraje” y aprobara el gasto de tokens, el último contrato del atacante utilizó esas autorizaciones ya otorgadas para limpiar de una sola vez los activos reales. La fuente de la vulnerabilidad no es un defecto de código, sino la propia lógica de búsqueda de ganancias del bot.

¿La recompensa de 1 millón de dólares de JaredFromSubway puede recuperar los fondos?

De acuerdo con lo reportado, aunque el diseñador de JaredFromSubway ofreció una recompensa de 1 millón de dólares, a partir de casos históricos la tasa de devolución de fondos en este tipo de ataques es extremadamente baja. El artículo señala que “la probabilidad de recuperar este dinero, por ahora, no es alta”.

¿Por qué la estimación de pérdidas entre la empresa de seguridad Blockaid y el diseñador es tan grande (7,5 millones vs 15 millones)?

Según lo reportado, el análisis on-chain de Blockaid y PeckShield solo puede rastrear las pérdidas de activos on-chain directamente visibles (aprox. 7,5 millones de dólares); los 15 millones de dólares que afirma el diseñador de JaredFromSubway incluyen las partes no visibles directamente en la cadena, pero no se ha revelado su composición específica.