En Resumen
- El bot MEV jaredfromsubway perdió $7,5 millones tras ser engañado con tokens falsos y contratos inteligentes fraudulentos.
- El operador del bot ofreció una recompensa del 50% por la devolución de 2.150 ETH y amenazó con acciones legales.
- El atacante movió parte de los fondos robados a Tornado Cash para ocultar el rastro de las ganancias ilícitas.
Un conocido bot de trading sufrió un golpe notable este fin de semana después de ser víctima de una serie de transacciones que dejaron su lógica expuesta a comportamiento malicioso.
El ataque de $7,5 millones, que tuvo lugar el sábado, representó un revés repentino para "jaredfromsubway" y la fórmula que ha utilizado para acumular ganancias silenciosamente en Ethereum durante años.
El bot de trading ha sido reconocido por perfeccionar el llamado ataque sándwich. La estrategia es ampliamente considerada como una forma de manipulación de mercado en exchanges descentralizados, que involucra operaciones colocadas alrededor de transacciones pendientes y perjudican la ejecución del precio.
Esencialmente, un atacante le presentó a jaredfromsubway oportunidades engañosas que luego permitieron al actor malicioso drenar fondos legítimos, según la firma de seguridad Blockaid. El esquema se redujo a tokens falsos y contratos inteligentes fraudulentos, agregó Blockaid en una publicación en X.
Jaredfromsubway está diseñado para escanear continuamente en busca de operaciones rentables, y para ejecutarlas, ocasionalmente necesita otorgar a entidades permiso para mover fondos en su nombre.
Algunas transacciones en las que participó jaredfromsubway revocaban esos permisos tan pronto como se completaban, mientras que las que fueron diseñadas posteriormente por el atacante no lo hacían. "Eso dejó a los gastadores controlados por el atacante armados", explicó Blockaid.
Aunque la industria cripto ha desarrollado varios servicios para prevenir ataques sándwich, entidades como jaredfromsubway son vistas, en cierto modo, como inevitables. Sin embargo, el ataque del sábado demostró que la lógica del bot de trading está lejos de ser infalible.
El operador del bot de trading pareció reconocer esto. En un mensaje on-chain, ofreció una "recompensa white hat del 50%" por la devolución de 2.150 Ethereum, actualmente valorados en aproximadamente $3,7 millones, dentro de las próximas 48 horas. De lo contrario, el individuo detrás del bot amenazó con tomar acciones legales e involucrar a las autoridades.
You can't make this up 💀
The wallet that owns metamask.eth had something to say to JaredFromSubway regarding his recent onchain bounty request.
There's virtually no chance the person or group behind the exploit takes the bounty, and there's also no chance Jared pursues legal… https://t.co/bSDkGZJ4Ik pic.twitter.com/3Xhx0YKH2T
— zubic (@zubic_eth) June 22, 2026
"Finalmente, alguien castigó al infame atacante sándwich", comentó un observador en X. "La gente no muere sin experimentar lo que le han infligido a otros".
Los ataques sándwich caen bajo el paraguas del Valor Máximo Extraíble (MEV). Acuñado en 2019, el término se refiere a validadores y otros participantes que pueden generar ganancias reordenando transacciones antes de que sean finalizadas.
Tras el exploit del sábado, el atacante pareció comenzar a cubrir sus huellas.
La firma de seguridad PeckShield señaló en una publicación en X que, después de robar Ethereum envuelto y stablecoins, una parte de los fondos fue intercambiada y parcialmente depositada en Tornado Cash, un recurso común para atacantes que intentan ocultar el flujo de ganancias ilícitas.