El ataque que drenó a Jaredfromsubway.eth: cómo el bot MEV más temido de Ethereum perdió $7.5 millones por su propia lógica automatizada

El ecosistema de finanzas descentralizadas (DeFi) en Ethereum ha sido sacudido por un incidente sin precedentes: uno de los bots de extracción de valor máximo (MEV) más exitosos de la red, Jaredfromsubway.eth, perdió más de $7.5 millones en un ataque que explotó su propia arquitectura automatizada. Lo irónico es que el bot fue diseñado para beneficiarse de las ineficiencias del mercado, pero terminó siendo víctima de una trampa diseñada para engañar su lógica de aprobación de tokens. Este caso ilustra no solo los riesgos de los sistemas automatizados en DeFi, sino también cómo los atacantes pueden explotar patrones predecibles en el comportamiento de los bots.

El ataque no fue un phishing clásico ni una vulnerabilidad tradicional en contratos inteligentes. Según Blockaid, se trató de una operación cuidadosamente planificada que engañó al bot para que otorgara aprobaciones de tokens a contratos controlados por el atacante. Estos permisos permitieron luego drenar los fondos del bot, que durante años había acumulado cientos de millones de dólares mediante la manipulación de transacciones en la red Ethereum. El incidente expone una vulnerabilidad crítica en la forma en que los bots MEV interactúan con el entorno de DeFi, donde la confianza en la automatización puede convertirse en un punto débil explotable.

Qué es un bot MEV y por qué Jaredfromsubway.eth era tan poderoso

Los bots MEV (Maximal Extractable Value) son programas automatizados que monitorean el pool de transacciones pendientes en Ethereum y buscan oportunidades para reordenarlas, insertar transacciones propias o manipular precios con el fin de obtener ganancias. Este proceso, conocido como "front-running" o "sandwich attack", actúa como un "impuesto invisible" para los usuarios de DeFi, ya que los traders ven cómo sus operaciones son afectadas por estas manipulaciones antes de ser ejecutadas.

Jaredfromsubway.eth se especializó en sandwich attacks, una técnica en la que un atacante coloca una transacción de compra antes de una operación grande del usuario para subir el precio, y luego vende inmediatamente después para obtener ganancias. Según datos de investigación, entre noviembre de 2024 y octubre de 2025, este bot fue responsable del 70% de todos los sandwich attacks en Ethereum, con entre 60,000 y 90,000 ataques mensuales. Su eficiencia y escala lo convirtieron en una pieza clave del ecosistema MEV, aunque también en un objetivo atractivo para actores malintencionados.

La popularidad de Jaredfromsubway.eth no se debía solo a su volumen, sino a su capacidad para operar con precisión algorítmica. El bot estaba diseñado para detectar operaciones grandes y reaccionar en milisegundos, aprovechando las pequeñas diferencias de precio que ocurren en mercados descentralizados. Sin embargo, esta misma automatización —que le daba ventaja competitiva— se convirtió en su talón de Aquiles cuando el atacante encontró una forma de explotar su lógica de aprobación de tokens.

El ataque: cómo un hacker engañó al bot con contratos falsos

El ataque comenzó con la creación de 66 contratos falsos que imitaban tokens populares como Wrapped ETH (WETH), USDC y USDt (USDT). Estos contratos no eran copias exactas, pero estaban diseñados para parecer legítimos, con nombres y interfaces similares a los tokens reales. El atacante también creó pools de liquidez falsos, que ofrecían oportunidades de arbitraje aparentemente rentables, el tipo de operaciones que los bots MEV como Jaredfromsubway.eth están programados para perseguir.

La trampa funcionó porque el bot, al detectar una oportunidad de ganancia, procedía a otorgar aprobaciones a contratos auxiliares controlados por el atacante. Estas aprobaciones permitían que los contratos falsos gastaran los fondos del bot en su nombre. Lo que comenzó como una búsqueda legítima de arbitraje se convirtió en un mecanismo de autodestrucción: el bot aprobó transacciones que luego fueron ejecutadas por el atacante, drenando sus fondos.

Según Blockaid, este no fue un ataque de phishing ni una vulnerabilidad en el contrato del bot, sino una explotación de la lógica automatizada de aprobación de tokens. El atacante aprovechó la confianza que el bot tenía en su propio sistema de ejecución para engañarlo y hacer que aprobara gastos no autorizados. Este enfoque, llamado "counter-MEV" o contra-MEV, representa una nueva categoría de amenazas en el ecosistema, donde los atacantes no buscan explotar fallos técnicos, sino la predictibilidad del comportamiento automatizado.

Las pérdidas y el impacto en el ecosistema MEV

Las pérdidas de $7.5 millones para Jaredfromsubway.eth son significativas, pero el impacto real va más allá del monto. Este incidente demuestra que incluso los sistemas más sofisticados y rentables en DeFi pueden ser vulnerables cuando su automatización se vuelve predecible. Los bots MEV operan en un entorno de alta competencia, donde la velocidad y la precisión son críticas. Sin embargo, esta misma eficiencia puede ser explotada si los atacantes logran entender y manipular los patrones de decisión del bot.

El ataque también expone una paradoja en el ecosistema MEV: mientras que estos bots extraen valor de los usuarios de DeFi, ellos mismos pueden convertirse en blancos de valor. La cantidad de dinero que manejan los bots MEV más exitosos los convierte en objetivos atractivos para ataques sofisticados. Además, el incidente subraya la necesidad de mejorar los mecanismos de seguridad en los sistemas automatizados de DeFi, donde la confianza en la automatización puede ser un riesgo.

Los datos indican que los sandwich attacks en Ethereum generan alrededor de $60 millones en pérdidas anuales para los traders. Con Jaredfromsubway.eth manejando el 70% de estos ataques, su caída temporal podría reducir la frecuencia de estos ataques, aunque es poco probable que el ecosistema MEV desaparezca. Más bien, este evento podría acelerar la adopción de medidas de seguridad más robustas en los bots y en los protocolos de DeFi.

¿Por qué este ataque es diferente a un phishing o una vulnerabilidad tradicional?

A diferencia de un ataque de phishing, donde los usuarios son engañados para revelar sus credenciales, o una vulnerabilidad en un contrato inteligente, donde se explota un fallo de código, este ataque se centró en la lógica de decisión automatizada del bot. El atacante no buscó engañar a un usuario, sino al propio sistema automatizado, explotando la forma en que el bot interactúa con contratos y tokens.

El método utilizado —crear contratos falsos que imitan tokens reales— es una variante de lo que se conoce como "honeypot attack" o ataque de trampa. El atacante creó un entorno que parecía legítimo y rentable, atrayendo al bot para que interactuara con él. Una vez que el bot otorgó las aprobaciones necesarias, el atacante tuvo acceso a los fondos del bot y procedió a drenarlos.

Este enfoque es especialmente peligroso porque no requiere explotar una vulnerabilidad técnica, sino aprovechar el comportamiento esperado del bot. En un entorno donde la automatización es clave, los atacantes pueden predecir cómo reaccionará un bot ante ciertas situaciones y diseñar trampas en consecuencia. Esto plantea un desafío para la seguridad en DeFi, donde la confianza en la automatización debe equilibrarse con mecanismos de verificación robustos.

El futuro de los bots MEV y las lecciones para los traders

El incidente con Jaredfromsubway.eth es una llamada de atención para el ecosistema MEV y para los traders que operan en DeFi. Los bots MEV seguirán existiendo, pero es probable que su diseño evolucione para incluir medidas de seguridad más estrictas, como verificaciones adicionales antes de otorgar aprobaciones de tokens o límites en las cantidades que pueden ser gastadas automáticamente.

Para los traders, este ataque refuerza la importancia de operar en entornos más transparentes y con menor exposición a manipulaciones. Protocolos que implementan mecanismos de protección contra MEV, como los que usan "commit-reveal" o subastas de transacciones, podrían ganar popularidad. También es crucial que los usuarios sean conscientes de los riesgos asociados con las operaciones en DeFi y tomen medidas para minimizar su exposición a ataques MEV.

Otra implicación es la necesidad de mayor transparencia en el ecosistema MEV. Si los bots como Jaredfromsubway.eth pueden ser explotados de esta manera, es posible que otros actores del mercado también sean vulnerables. La comunidad de desarrolladores y auditores de contratos inteligentes deberá trabajar en soluciones que reduzcan la predictibilidad de los bots y aumenten la resiliencia del ecosistema.

¿Qué sigue para Jaredfromsubway.eth y el ecosistema?

Aunque el ataque ha sido un revés significativo, es poco probable que Jaredfromsubway.eth desaparezca por completo. Los bots MEV operan en un entorno de alta competencia, y la experiencia acumulada por este bot podría permitirle recuperarse y mejorar sus mecanismos de seguridad. Sin embargo, el incidente deja claro que el ecosistema MEV es un campo de batalla en constante evolución, donde los atacantes y los defensores se enfrentan en una carrera armamentista tecnológica.

Para los desarrolladores de bots MEV, la lección es clara: la automatización debe ir acompañada de verificaciones y balances. Los sistemas que dependen demasiado de la lógica automatizada sin controles adecuados son vulnerables a ser explotados. La implementación de protocolos de seguridad, como la verificación de contratos en tiempo real o la limitación de aprobaciones, podría reducir el riesgo de futuros ataques.

En cuanto al ecosistema DeFi en general, este incidente subraya la necesidad de soluciones que protejan a los usuarios de las manipulaciones MEV. Protocolos como CowSwap, que utilizan subastas para ocultar las intenciones de los traders, o sistemas que implementan "private mempools" para evitar el front-running, podrían ganar terreno. La innovación en este espacio es crucial para mantener la confianza en las finanzas descentralizadas.

Conclusión

El drenaje de $7.5 millones de Jaredfromsubway.eth no es solo una pérdida financiera, sino un recordatorio de los riesgos inherentes a la automatización en DeFi. Los bots MEV han sido durante años una parte integral del ecosistema Ethereum, pero su éxito los ha convertido en blancos atractivos para ataques sofisticados. Este incidente demuestra que, en un entorno donde la velocidad y la precisión son clave, la predictibilidad puede ser un punto débil.

Para los traders y desarrolladores, la lección es clara: la innovación en DeFi debe ir acompañada de seguridad. Los sistemas automatizados deben incluir verificaciones robustas y mecanismos de protección para evitar ser explotados. Mientras el ecosistema MEV evoluciona, es probable que veamos un aumento en la adopción de soluciones que reduzcan la exposición a manipulaciones y protejan tanto a los bots como a los usuarios finales. El futuro de DeFi depende de encontrar un equilibrio entre eficiencia y seguridad, donde la automatización no se convierta en una puerta de entrada para los atacantes.