El bot MEV Jaredfromsubway de Ethereum fue vaciado tras aprobar su propio robo de $7,5M

El bot MEV Jaredfromsubway, vinculado a aproximadamente el 70% de los ataques sandwich en Ethereum, perdió más de $7,5 millones en un vaciado de allowance después de que su sistema automatizado autorizara a contratos controlados por el atacante a gastar sus tokens.

El bot, conocido como Jaredfromsubway.eth, aprobó una serie de transacciones que parecían formar parte de rutas de trading rentables. Esos permisos permanecieron activos, lo que permitió al atacante retirar ether envuelto y dos importantes stablecoins de los contratos asociados a la operación.

El incidente provocó efectivamente que uno de los sistemas de trading extractivo más grandes de Ethereum aprobara su propio robo. También pone de relieve una vulnerabilidad que enfrentan los traders automatizados, quienes deben evaluar mercados, autorizar contratos y ejecutar transacciones en cuestión de segundos.

La empresa de seguridad onchain Blockaid afirmó que el atacante no comprometió las claves privadas del bot ni explotó un fallo en un protocolo de finanzas descentralizadas ampliamente utilizado. En cambio, la operación apuntó a las reglas que el bot usaba para identificar y perseguir posibles ganancias.

Cómo fue vaciado Jaredfromsubway.eth

Según Blockaid, el atacante había pasado varias semanas desplegando tokens de imitación, pools de liquidez y contratos de soporte que se asemejaban a los mercados contra los que el bot normalmente operaría.

Los activos falsos incluían versiones de Ethereum envuelto, USDC y USDT, emparejados mediante rutas de trading diseñadas para generar señales que parecían rentables. Jaredfromsubway.eth detectó esas rutas y siguió su proceso habitual de autorizar a contratos auxiliares a mover tokens como parte de las operaciones esperadas.

Algunas transacciones tempranas usaron los permisos según lo previsto, ayudando a establecer un patrón que el sistema del bot continuó aceptando. Transacciones posteriores dejaron las aprobaciones sin utilizar.

Esa distinción le dio al atacante una apertura a través de las aprobaciones ERC-20, que permiten a otra dirección o Smart Contract gastar una cantidad determinada de tokens pertenecientes a la cuenta que aprueba.

El permiso puede permanecer disponible tras la transacción original a menos que se agote, reduzca o revoque.

Una vez que el atacante acumuló suficientes allowances sin usar, los contratos emplearon la función transferFrom de ERC-20 para mover WETH, USDC y USDT reales desde las cuentas del bot.

Los registros onchain muestran transferencias repetidas que totalizan aproximadamente 92 WETH, $143,000 USDC y $149,000 USDT desde un contrato vinculado al bot. Los fondos fueron dirigidos a una dirección controlada por el atacante.

El desarrollador de Yearn Finance, Banteg, describió la operación final como un vaciado de allowance en lugar de un Intercambio de tokens convencional. Un contrato coordinador llamó a una función de retiro en docenas de contratos subsidiarios, que verificaron los saldos del bot y sus permisos restantes antes de transferir los tokens disponibles.

Parte de los fondos obtenidos fueron enviados posteriormente a través de Tornado Cash, un servicio de mezcla de criptomonedas que puede dificultar el rastreo de fondos.

Un operador de sandwich dominante se convierte en el objetivo

Jaredfromsubway.eth opera desde 2023 y se convirtió en uno de los participantes más destacados en el mercado de valor máximo extraíble (MEV) de Ethereum.

MEV hace referencia a los ingresos generados al cambiar el orden en que se procesan las transacciones en la blockchain. En un ataque sandwich, un bot identifica una operación pendiente y compra el activo primero, elevando su precio. La transacción del usuario se ejecuta entonces a un precio menos favorable antes de que el bot venda, capturando la diferencia.

Eso convirtió a Jaredfromsubway.eth en uno de los bots de ataque sandwich más visibles de Ethereum, antes de que esa misma automatización se convirtiera en la vía de acceso a sus propios fondos.

La pérdida para cualquier trader individual puede ser pequeña. Sin embargo, a lo largo de decenas de miles de transacciones, la estrategia puede generar ingresos sustanciales al tiempo que aumenta los costos de trading y las comisiones de red.

Según informes, estos ataques impusieron un costo anual estimado de $60 millones a los traders, mientras que aproximadamente el 70% estaban asociados a un único operador identificado como Jaredfromsubway.eth.

The post Ethereum's Jaredfromsubway MEV bot drained after approving its own $7.5M theft appeared first on CryptoSlate.