Mientras el mercado cripto estuvo en modo descanso durante el fin de semana, se desató un auténtico drama en el ecosistema de Ethereum. Uno de los bots de sandwich más conocidos y agresivos — jaredfromsubway.eth — se convirtió en víctima de una trampa magistralmente diseñada.
Hoy, cuando las primeras emociones se han calmado, los analistas de Blockaid y los investigadores on-chain han desmenuzado completamente la mecánica de esta explotación sofisticada, que le costó al bot entre $7.5 millones y más de $15 millones.
🛠 ¿Cómo lograron los hackers engañar el algoritmo?
JaredFromSubway ganaba millones durante años con «ataques sandwich» (intercepción de transacciones de los usuarios). Sin embargo, los atacantes utilizaron su propia automatización en su contra:
El anzuelo: Los hackers crearon pools con tokens envoltorio falsos (wrapped) e iniciaron las operaciones de forma artificial.
Romper la lógica: El bot reaccionó automáticamente al volumen e intentó ejecutar un ataque sandwich. Pero el contrato inteligente de los hackers obligó al router del bot a firmar una aprobación ilimitada para disponer de sus fondos.
Limpieza de saldos: Después de obtener la autorización, los atacantes, mediante la función transferFrom, extrajeron instantáneamente de forma directa los activos reales del bot: WETH, USDC y USDT. El bot compraba «aire», entregando liquidez real.
💰 Estado actual: $1,000,000 por devolver los fondos
El alcance del golpe resultó tan crítico que el desarrollador JaredFromSubway reaccionó de inmediato y ofreció al hacker una recompensa de $1 000 000 a cambio de devolver el resto de los fondos. El desarrollador garantiza el anonimato y el estatus de «hacker blanco» si los activos se devuelven. La comunidad está monitoreando activamente las carteras on-chain del atacante: ¿irá a un acuerdo?
¿Qué significa esto para la industria de Web3?
Fin del monopolio absoluto de MEV: Los bots que antes controlaban la mayor parte del tráfico de sandwich en Ethereum resultaron ser vulnerables frente a un código no estándar.
Nueva era de ciberseguridad: Este caso demostró que proteger contra un hackeo no solo requiere protocolos, sino también los propios algoritmos de trading automatizado.
👇 ¿Ustedes creen que el hacker aceptará la oferta de $1 millón o se quedará con todo? ¿Y podrán los bots de MEV recuperarse después de un golpe así? ¡Escriban en los comentarios!