Recientemente, un incidente destacado ha sacudido el mundo de las criptomonedas. Un bot de trading en Ethereum, conocido como JaredFromSubway, fue víctima de una estafa hábilmente orquestada que costó alrededor de 13,5 millones de euros (15 millones de dólares) a su operador. Esta situación pone de relieve no solo las vulnerabilidades de los sistemas automatizados de trading, sino también los riesgos inherentes al sector de las criptomonedas.
Un robot de trading cripto robado de 13,5 millones de euros
El bot JaredFromSubway era conocido por sus métodos de arbitraje agresivos, aprovechando las transacciones en espera en la mempool de Ethereum para beneficiarse de las fluctuaciones de precios. Usando técnicas probadas, como el sandwich, lograba generar ganancias considerables al actuar antes y después de transacciones específicas. Sin embargo, su rapidez de ejecución, que se suponía que era su principal fortaleza, resultó ser su debilidad fatal.
Los métodos de explotación del atacante
Según un análisis de la empresa de seguridad Blockaid, el ataque contra JaredFromSubway fue meticulosamente planeado. En primer lugar, el atacante envió transacciones inofensivas para observar el funcionamiento del bot, sin movilizar fondos. Esto permitió estudiar cómo el bot validaba oportunidades y qué tipos de contratos aprobaba.
Creación de falsos tokens y pools
Una vez realizada esta labor de reconocimiento, el atacante estableció falsos tokens y pools de liquidez que se parecían lo suficiente a oportunidades MEV reales para engañar al bot. Al validar estos contratos falsos, JaredFromSubway otorgó al atacante permisos de gasto, permitiéndole así desviar fondos sin levantar sospechas inmediatas.
Las consecuencias del ataque
En total, el contrato de JaredFromSubway fue drenado de una suma exorbitante de 13,5 millones de euros, equivalente a activos como WETH, USDC y USDT. El operador del bot, al darse cuenta de la magnitud de la pérdida, ofreció una recompensa de recuperación que inicialmente se fijó en aproximadamente 2,7 millones de euros, antes de ser elevada a 6,8 millones de euros. A pesar de estos esfuerzos, no se recibió ninguna respuesta por parte del atacante.
Las implicaciones sobre la seguridad de los bots MEV
Este tipo de incidente plantea serias preguntas sobre la seguridad de los bots MEV. Aunque son técnicamente muy avanzados, estas herramientas siguen expuestas a ataques que apuntan a la forma en que funcionan, más que a fallos de software clásicos. Cuando los sistemas están diseñados para confiar ciegamente en las señales del mercado, se vuelven vulnerables a manipulaciones cuidadosamente orquestadas.
Discusiones en curso sobre la ética de la recuperación
Si bien el incidente ha revelado deficiencias en los sistemas de seguridad, también ha puesto de relieve una dinámica más compleja: el hecho de que el operador, que ha acumulado millones «robando» a otros usuarios en el pasado, ahora intenta recuperar sus fondos a través de una recompensa. Se están llevando a cabo negociaciones con actores que se presentan como hackers éticos, pero hasta ahora no se ha encontrado ninguna solución.
Conclusión sobre los riesgos del sector
Este drama destaca no solo las vulnerabilidades de los sistemas automatizados de trading en crypto, sino también los desafíos más amplios que enfrenta el sector. Los riesgos inherentes al uso de robots de trading subrayan la importancia de una vigilancia mayor y de un entendimiento profundo de las herramientas y los mecanismos en juego en el ecosistema de las criptomonedas. Para saber más sobre la inversión en criptomonedas, puedes consultar esta guía completa.
