Uno de los bots de MEV más notorios de Ethereum, conocido como JaredFromSubway, ha sido drenado por alrededor de $7.5 millones después de que contratos controlados por un atacante engañaran a su sistema automatizado para que otorgara aprobaciones ("approvals") de tokens.
TL;DR
- El bot de MEV JaredFromSubway fue drenado por aproximadamente $7.5 millones.
- La firma de seguridad Blockaid dijo que el bot fue engañado para que aprobara rutas de comercio maliciosas.
- El atacante luego usó esas aprobaciones para extraer activos del contrato del bot.
- El incidente parece apuntar a la propia automatización del bot, no a Ethereum en sí mismo.
CoinDesk informó que Blockaid identificó la explotación, diciendo que contratos controlados por el atacante engañaron al bot para que aprobara rutas de comercio falsas. Esas aprobaciones fueron luego usadas para drenar WETH, USDC y USDT del contrato del bot. El incidente ha llamado la atención porque JaredFromSubway ha estado asociado durante mucho tiempo con agresivas operaciones de "sandwich trading" en Ethereum.
La ironía es difícil de pasar por alto. Los bots de MEV están construidos para explotar pequeñas ventajas de sincronización y enrutamiento en los mercados "on-chain". En este caso, la propia automatización del bot parece haberse convertido en la debilidad. En lugar de extraer valor de otros usuarios, fue manipulado para aprobar contratos que luego drenaron sus saldos.
Qué sucedió
La explotación reportada no fue un hackeo del protocolo base de Ethereum. Tampoco fue una falla general de una aplicación DeFi importante utilizada por depositantes ordinarios. El objetivo fue un bot de MEV específico y la lógica que utilizaba para interactuar con contratos durante el comercio automatizado.
Esa distinción importa. La infraestructura de MEV se mueve rápidamente y a menudo depende de una toma de decisiones altamente automatizada. Si esa automatización puede ser engañada para aprobar el contrato equivocado, el riesgo puede ser severo porque las transacciones se ejecutan con poca revisión humana.
Según los informes, el atacante preparó la trampa utilizando rutas o contratos falsos que el bot interpretó como oportunidades rentables. Una vez otorgadas las aprobaciones, el atacante las usó para transferir los activos. En términos de DeFi, fue un recordatorio de que las aprobaciones son permisos poderosos, no firmas inofensivas.
Por qué les importa a los traders
La historia es más grande que un solo bot siendo drenado. Destaca un riesgo que se aplica a todos los sistemas de comercio automatizado: la velocidad puede convertirse en fragilidad. Los bots que compiten en los mercados de MEV necesitan actuar más rápido que los traders humanos, pero eso también significa que pueden ser vulnerables a trampas cuidadosamente diseñadas.
Para los usuarios de Ethereum, el incidente puede sentirse como una justicia poética porque los bots de "sandwich" son ampliamente despreciados. Pero la lección técnica es más amplia. Cualquier sistema que otorgue aprobaciones de tokens basándose en interacciones automatizadas con contratos necesita salvaguardas estrictas, simulaciones y verificación de rutas.
El impacto en el mercado difícilmente provendrá únicamente del monto en dólares. Un drenaje de $7.5 millones es significativo, pero no sistémico. El mayor impacto es reputacional para la infraestructura de MEV y posiblemente operativo para los operadores de bots que ahora necesitan revisar su lógica de aprobación de manera más agresiva.
Por ahora, esto debe tratarse como una explotación dirigida contra un bot de trading, no como un evento de seguridad de toda la red.
Este informe se basa en información de Blockaid.
Este artículo fue escrito por el News Desk y editado por Samuel Rae.
