JaredFromSubway.eth, uno de los bots de ataque sándwich más notorios de Ethereum (ETH), fue vaciado de más de 7,5 millones de dólares después de que los atacantes usaran su propia automatización de trading en su contra.
Puntos clave:
- JaredFromSubway.eth perdió más de 7,5 millones de dólares cuando su automatización de trading aprobó contratos controlados por el atacante.
- El atacante sembró 66 tokens falsos y pools de liquidez fraudulentos durante varias semanas para atraer al bot.
- Parte de los fondos robados se movió a través de Tornado Cash, y la identidad del atacante sigue siendo desconocida.
JaredFromSubway.eth es vaciado en una trampa honeypot
No se rompió ningún código.
El bot fue vaciado el sábado después de que su sistema automatizado aprobara el gasto de tokens para contratos controlados por el atacante, entregando las llaves de su propia tesorería. La firma de seguridad Blockaid señaló el incidente, descartando tanto una estafa de phishing como cualquier fallo dentro del contrato de la víctima del que se extrajeron los fondos.
Raz Niv, director de tecnología de Blockaid, describió la operación como un honeypot contra-MEV, una trampa diseñada para explotar la lógica de minimización de confianza de la que dependen silenciosamente los traders automatizados. Apuntó a aquello que el bot fue construido para perseguir.
Durante varias semanas, el atacante sembró 66 tokens falsificados que copiaban los nombres de Wrapped Ether, USDC (USDC) y Tether (USDT), y luego los emparejó con pools de liquidez falsos. Esos pools parecían un arbitraje fácil, exactamente el tipo de beneficio que el bot rastrea en el mempool para adelantarse a él en cada bloque. Una sola transacción se llevó los tres.
Los bots MEV enfrentan un problema de confianza
La jugada dolió porque el bot figura entre las máquinas de beneficio más resentidas del mundo cripto, operando desde 2023 y supuestamente acumulando decenas de millones a costa de traders que nunca vieron cómo las órdenes se cerraban alrededor de sus swaps.
Su operador lleva tiempo estando entre los mayores gastadores de gas en Ethereum, llegando a quemar más de doscientos Ether en un solo día para ganar posición al frente de cada bloque.
Investigadores atribuyen alrededor del 70% de todos los ataques sándwich de Ethereum al bot, una práctica que se estima cuesta a los traders de la red unos 60 millones de dólares o más cada año. Pocos sintieron mucha simpatía. Un bot sándwich coloca una orden justo antes de una operación pendiente y otra justo detrás, y luego se queda con la diferencia de precio que creó como un impuesto invisible para los usuarios comunes, que rara vez lo notan.
El inversor cripto David Gokhshtein advirtió contra celebrar, aunque admitió que cualquiera que haya sido alguna vez víctima de un sandwich del bot ahora tendría dificultades para compadecerse de él. Parte de los fondos robados ya se movió a través de Tornado Cash.
El vaciado pone fin a una larga y agresiva racha. En mayo, el bot hizo sandwich al cofundador de Ethereum Vitalik Buterin durante un pequeño intercambio de tokens, señal de que incluso las billeteras más destacadas habían llamado su atención, por pequeña que fuera esa pérdida. La pérdida del sábado marcó un fallo poco común y costoso para una operación que había funcionado en gran medida sin oposición durante más de dos años, y los investigadores todavía rastrean hacia dónde fue el resto.
Leer siguiente: ¿Por qué Trump suavizó su postura de amenaza hacia Anthropic después del G7?