Arturo Trenard
El infame bot MEV Jaredfromsubway.eth pierde $7.5 millones en un exploit que explota su propio sistema automatizado
Un atacante engañó al robot de extracción de valor máximo (MEV) mediante tokens falsos y aprobaciones persistentes, en un giro irónico contra uno de los mayores depredadores de DeFi.
El conocido bot MEV Jaredfromsubway.eth fue víctima de un exploit que drenó más de $7.5 millones de sus fondos el sábado, según confirmó la firma de seguridad blockchain Blockaid a través de su cuenta en X. El ataque no correspondió a un phishing clásico ni a una vulnerabilidad tradicional de contrato inteligente, sino a una explotación del propio sistema automatizado del bot.
El fenómeno de los bots MEV en Ethereum
Los bots de Valor Máximo Extraíble (MEV, por sus siglas en inglés) son programas automatizados que monitorean las transacciones no confirmadas en la blockchain de Ethereum y manipulan su orden para extraer ganancias. Uno de los métodos más comunes que emplean es el denominado «sandwich attack», donde el bot coloca una transacción de compra antes y otra de venta después de la transacción de una víctima, manipulando así el precio del activo en su beneficio.
Jaredfromsubway.eth se ha consolidado como uno de los bots MEV más exitosos y notorios del ecosistema, generando «cientos de millones» de dólares en ingresos durante años de operación. Su capacidad para identificar y ejecutar oportunidades comerciales lo convirtió en una herramienta temida por muchos traders de DeFi.
Impacto de los sandwich attacks en DeFi
De acuerdo con una investigación de Cointelegraph Research, los sandwich attacks causan pérdidas anuales estimadas en aproximadamente $60 millones para los traders en la red de Ethereum. Entre noviembre de 2024 y octubre de 2025, se registraron entre 60,000 y 90,000 ataques de este tipo por mes, y cerca del 70% de ellos estaban asociados con Jaredfromsubway.eth.
Estos ataques funcionan como un «impuesto invisible» para los usuarios de finanzas descentralizadas, que ven cómo sus transacciones legítimas son intermediadas por bots que se benefician de su actividad comercial.
Cómo el atacante engañó al bot
Blockaid explicó en su comunicado que el exploit no fue un ataque de phishing convencional ni una vulnerabilidad de código tradicional. En su lugar, el atacante creó tokens falsos y pools de liquidez falsos que parecían oportunidades comerciales legítimas para el sistema automatizado del bot.
Los tokens falsos incluían:
– fWETH (falso Wrapped Ether)
– fUSDC (falso USDC)
– fUSDT (falso USDt)
– fCAP (falso Cap)
El sistema automatizado del bot detectó lo que parecían ser oportunidades MEV lucrativas y, como parte de su funcionamiento normal, generó aprobaciones a contratos auxiliares que estaban controlados por el atacante.
La mecánica del drenaje de fondos
En condiciones normales, el bot utilizaría esas aprobaciones durante el comercio para ejecutar las transacciones. Sin embargo, el atacante diseñó rutas específicas que permitían que las aprobaciones permanecieran abiertas sin ser utilizadas inmediatamente.
Una vez que suficientes aprobaciones estuvieron en su lugar, el atacante ejecutó un «barrido final» (final sweep): utilizó la función transferFrom para retirar WETH, USDC y USDT directamente del contrato del bot MEV Jaredfromsubway.eth. El monto total drenado superó los $7.5 millones.
«Nadie debería celebrar, pero…» – Reacciones de la comunidad
La noticia generó reacciones mixtas en la comunidad cripto. David Gokhshtein, inversor y comentarista reconocido del sector, compartió su perspectiva en redes sociales:
«No deberíamos alegrarnos por esto; nadie debería celebrar… pero si alguna vez has sido víctima de un sandwich attack por este bot… estoy bastante seguro de que no estás molesto por esta noticia.»
La ironía de que un bot que ha causado pérdidas a innumerables traders sea ahora víctima de un exploit similar no pasó desapercibida. Muchos en la comunidad lo consideran un caso de «justicia poética» o un «raro merecido» para los operadores de bots MEV que han depredado el ecosistema durante años.
Implicaciones para la seguridad en DeFi
El incidente demuestra la creciente sofisticación de los ataques en el espacio de las finanzas descentralizadas. No se trató de un error de código ni de una vulnerabilidad tradicional, sino de la explotación deliberada del comportamiento automatizado del bot.
Para los operadores de bots MEV y los desarrolladores DeFi, el caso deja lecciones importantes sobre los riesgos de confiar en sistemas automatizados que otorgan aprobaciones sin supervisión humana adecuada. También plantea preguntas sobre si los mecanismos de permisos y aprobaciones en contratos inteligentes deberían incorporar controles adicionales para prevenir este tipo de ataques.
Datos y figuras destacadas
– $7.5 millones: monto drenado del bot Jaredfromsubway.eth.
– 60,000-90,000: sandwich attacks por mes en Ethereum entre noviembre 2024 y octubre 2025.
– 70%: proporción de esos ataques asociados con Jaredfromsubway.eth.
– ~$60 millones: pérdidas anuales estimadas para traders por sandwich attacks.
– «Cientos de millones»: ingresos históricos del bot antes del exploit.
Un giro irónico en el ecosistema MEV
El exploit contra Jaredfromsubway.eth representa un caso notable en el mundo cripto, donde uno de los mayores depredadores del ecosistema ha sido cazado por un método similar al que él mismo empleaba contra otros usuarios.
Sin embargo, más allá de la ironía, el incidente expone vulnerabilidades en sistemas automatizados altamente sofisticados. La capacidad de un atacante para engañar a un bot que ha demostrado ser extremadamente rentable durante años sugiere que ningún sistema automatizado está completamente a salvo de explotación.
Este caso podría impulsar mejoras en los mecanismos de aprobación y permisos en contratos automatizados, así como potencialmente generar discusiones sobre la necesidad de mayor supervisión regulatoria sobre las operaciones MEV en el ecosistema Ethereum.
