El bot de criptomonedas conocido como Jaredfromsubway.eth, famoso por ser responsable del 70% de los ataques de tipo 'sandwich' en Ethereum entre noviembre de 2024 y octubre de 2025, ha sido víctima de un ataque que le ha costado más de $7.5 millones. Este incidente, ocurrido el pasado sábado, se debió a que contratos controlados por un atacante engañaron al sistema automatizado de ejecución de MEV (valor máximo extraíble) del bot, permitiendo que se otorgaran aprobaciones de tokens que luego fueron utilizados para drenar fondos. Según Blockaid, este tipo de ataque no se clasifica como un phishing tradicional ni como una vulnerabilidad clásica de contratos inteligentes, lo que lo hace aún más preocupante para el ecosistema de DeFi.

Los bots de MEV, como Jaredfromsubway.eth, son programas automatizados que monitorean transacciones no confirmadas en redes blockchain y manipulan su orden para extraer beneficios, lo que se puede considerar una especie de "impuesto invisible" sobre los usuarios de DeFi. Investigaciones anteriores de Cointelegraph Research indicaron que los ataques de tipo sandwich en Ethereum han generado pérdidas anuales de aproximadamente $60 millones para los comerciantes. Durante el período mencionado, se registraron entre 60,000 y 90,000 ataques de este tipo cada mes, con un 70% de ellos atribuidos a Jaredfromsubway.eth.

El ataque reciente fue descrito por Raz Niv, CTO de Blockaid, como un ataque de "honeypot" contra MEV, ya que se centró específicamente en la lógica de toma de decisiones automatizada y minimizada en confianza que utilizan estos bots. En un período de varias semanas, el atacante implementó 66 contratos de tokens falsos que imitaban los nombres e interfaces de tokens populares como Wrapped ETH (WETH), USDC y USDt. Estos contratos falsos fueron emparejados con pools de liquidez engañosos, diseñados para parecer operaciones rentables que los bots de MEV persiguen, lo que llevó al bot a aprobar contratos auxiliares controlados por el atacante para gastar dinero real en su nombre.

Este tipo de vulnerabilidad plantea serias implicancias para los inversores en criptomonedas, ya que pone de manifiesto la fragilidad de los sistemas automatizados en el ecosistema DeFi. La posibilidad de que un bot que ha generado cientos de millones de dólares en ganancias sea explotado de esta manera puede generar desconfianza entre los usuarios y llevar a una mayor regulación en el espacio. Además, algunos de los fondos robados ya han sido enviados a servicios de mezcla de criptomonedas como Tornado Cash, lo que complica aún más la recuperación de los activos perdidos.

A medida que el ecosistema de criptomonedas continúa evolucionando, es crucial que los inversores mantengan un ojo en la seguridad de los contratos inteligentes y los bots de MEV. La comunidad cripto debe estar atenta a futuros desarrollos en la regulación y la seguridad, especialmente con el creciente interés de los reguladores en el espacio. Eventos como el ataque a Jaredfromsubway.eth podrían ser catalizadores para un cambio en la forma en que se gestionan y supervisan las actividades en el ecosistema DeFi, lo que podría tener un impacto significativo en la forma en que los inversores operan en el futuro.