El bot Jaredfromsubway MEV, vinculado a aproximadamente el 70% de los ataques sándwich de Ethereum, perdió más de 7,5 millones de dólares en una fuga de asignaciones después de que su sistema automatizado autorizara contratos controlados por atacantes para gastar sus tokens.
El robot, conocido como Jaredfromsubway.eth, aprobó una serie de transacciones que parecían ser parte de rutas comerciales rentables. Esos permisos permanecieron activos, lo que permitió al atacante eliminar el ether envuelto y dos monedas estables importantes de los contratos asociados con la operación.
El incidente efectivamente provocó que uno de los sistemas comerciales extractivos más grandes de Ethereum aprobara su propio robo. También resalta una vulnerabilidad que enfrentan los comerciantes automatizados que deben evaluar los mercados, autorizar contratos y ejecutar transacciones en segundos.
La empresa de seguridad Onchain Blockaid dijo que el atacante no comprometió las claves privadas del bot ni aprovechó una falla en un protocolo financiero descentralizado ampliamente utilizado. En cambio, la operación se centró en las reglas que utilizaba el robot para identificar y buscar ganancias potenciales.
Cómo se drenó Jaredfromsubway.eth
Según Blockaid, el atacante había pasado varias semanas implementando tokens de imitación, fondos de liquidez y contratos de respaldo que se parecían a mercados en los que el robot normalmente podría negociar.
Los activos falsos incluían versiones de Ethereum, USDC y USDT envueltos, emparejados a través de rutas comerciales diseñadas para generar señales aparentemente rentables. Jaredfromsubway.eth detectó esas rutas y siguió su proceso habitual de permitir que los contratos de ayuda muevan tokens como parte de los intercambios esperados.
Algunas de las primeras transacciones utilizaron los permisos como se anticipó, lo que ayudó a establecer un patrón que el sistema del bot continuó aceptando. Transacciones posteriores dejaron las aprobaciones sin utilizar.
Esa distinción le dio al atacante una oportunidad a través de las aprobaciones ERC-20, que permiten que otra dirección o contrato inteligente gaste una cantidad específica de tokens pertenecientes a la cuenta de aprobación.
El permiso puede permanecer disponible después de la transacción original a menos que se agote, se reduzca o se revoque.
Una vez que el atacante había acumulado suficientes asignaciones no gastadas, los contratos utilizaron el ERC-20. transferFrom función para mover WETH, USDC y USDT reales desde las cuentas del bot.
Los registros en cadena muestran transferencias repetidas por un total de aproximadamente 92 WETH, $143,000 USDC y $149,000 USDT de un contrato vinculado al bot. Los fondos fueron dirigidos a una dirección controlada por el atacante.
Banteg, desarrollador de Yearn Finance, describió la operación final como una fuga de fondos en lugar de un intercambio de tokens convencional. Un contrato de coordinación convocaba una función de retiro en docenas de contratos subsidiarios, que verificaba los saldos del bot y sus permisos restantes antes de transferir los tokens disponibles.
Posteriormente, parte de las ganancias se enviaron a través de Tornado Cash, un servicio de mezcla de criptomonedas que puede dificultar el seguimiento de los fondos.
Un operador sándwich dominante se convierte en el objetivo
Jaredfromsubway.eth opera desde 2023 y se convirtió en uno de los participantes más destacados en el mercado de Ethereum por el valor máximo extraíble (MEV).
MEV se refiere a los ingresos generados al cambiar el orden en que se procesan las transacciones de blockchain. En un ataque sándwich, un robot identifica una operación pendiente y compra el activo primero, haciendo subir su precio. Luego, la transacción del usuario se ejecuta al precio menos favorable antes de que el robot venda, capturando la diferencia.
Eso convirtió a Jaredfromsubway.eth en uno de los robots de ataque sándwich más visibles de Ethereum antes de que la misma automatización se convirtiera en la ruta hacia sus propios fondos.
La pérdida para cualquier comerciante individual puede ser pequeña. Sin embargo, a través de decenas de miles de transacciones, la estrategia puede generar ingresos sustanciales y al mismo tiempo aumentar los costos comerciales y las tarifas de la red.
Según los informes, estos ataques impusieron un costo anual estimado de 60 millones de dólares a los comerciantes, mientras que alrededor del 70% estaban asociados con un solo operador identificado como Jaredfromsubway.eth.
