Puntos Clave de la Noticia:
- Pérdida millonaria: El bot JaredfromSubway.eth sufrió el robo de al menos 7,5 millones de dólares en Ethereum y monedas estables.
- Estrategia del ataque: Un actor desconocido desplegó 66 contratos de tokens falsos para explotar las autorizaciones de gasto del bot.
- Destino de los fondos: Los activos robados fueron convertidos a ETH y transferidos al mezclador Tornado Cash para ocultar su rastro.
Este viernes se confirmó que el principal atacante sándwich de Ethereum, identificado con el dominio JaredfromSubway.eth, perdió más de $7.5 millones de dólares en un exploit de tipo honeypot o trampa de liquidez, entre el 20 y el 21 de junio de 2026.
Este bot operaba en la red desde 2023 detectando transacciones pendientes en la memoria temporal o mempool pública de Ethereum. La información de Chainalysis revela que, la estrategia del software consistía en ejecutar órdenes de compra justo antes que los usuarios comunes para inflar los precios, vendiendo inmediatamente después los activos para capitalizar la diferencia en operaciones de arbitraje técnico.
La trampa de los contratos falsos
El atacante anónimo diseñó un ecosistema con 66 contratos de tokens falsificados que simulaban activos reales del mercado descentralizado. El bot automatizado identificó estos fondos como oportunidades comerciales legítimas y procedió a otorgar aprobaciones de gasto de tokens a los contratos inteligentes involucrados, un paso rutinario que el sistema de trading no revocó con posterioridad.
Los pares de tokens creados carecían de valor real y estaban diseñados exclusivamente para acumular los permisos de la billetera afectada. Una vez que el atacante recopiló las autorizaciones necesarias, se activó un contrato que vació las tenencias del bot en una sola transacción coordinada, sustrayendo depósitos en Ether y stablecoin.
Los datos de Chainalysis sugieren que el responsable del exploit transformó de forma inmediata todas las monedas estables a Ether. El informe técnico señala que esta conversión se ejecutó en pocos minutos para prevenir que las empresas emisoras de dichos criptoactivos congelaran los balances de las direcciones bajo su control.
Ethereum’s most notorious sandwich attacker just lost $7.5 million to a honeypot. Read our latest research explaining the theft, where the money’s gone, and how you can avoid getting hacked.https://t.co/5AaXDCwzGI pic.twitter.com/a72CFTZ8Or
— Chainalysis (@chainalysis) June 26, 2026
El destino del capital en Tornado Cash
La firma de análisis blockchain utilizó su herramienta especializada Reactor para rastrear los activos robados durante las jornadas posteriores al incidente. La investigación arrojó que el atacante dividió los fondos de manera estratégica a través de múltiples billeteras digitales antes de enviarlos hacia Tornado Cash, un protocolo de mezcla descentralizado utilizado para romper el vínculo de rastreo en la cadena de bloques.
El reporte concluye que el bot presentaba una vulnerabilidad crítica debido a la acumulación de aprobaciones ilimitadas de contratos que permanecían activas de manera indefinida. Los analistas de Chainalysis determinaron que el sistema priorizaba la velocidad de ejecución sobre los filtros de seguridad, omitiendo verificaciones básicas en exploradores de bloques como Etherscan que habrían revelado la falsedad de los contratos empleados en el fraude. Al finalizar esta nota, ninguna parte de los $7,5 millones de dólares habían sido recuperados por los administradores del bot de arbitraje.
