coin-img-ETHETH-0.44%coin-img-BTCBTC+0.27%coin-img-SOLSOL+2.82%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.04%coin-img-TRXTRX+0.43%coin-img-DOGEDOGE-0.45%coin-img-SUISUI-0.07%coin-img-ETHETH-0.44%coin-img-BTCBTC+0.27%coin-img-SOLSOL+2.82%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.04%coin-img-TRXTRX+0.43%coin-img-DOGEDOGE-0.45%coin-img-SUISUI-0.07%coin-img-ETHETH-0.44%coin-img-BTCBTC+0.27%coin-img-SOLSOL+2.82%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.04%coin-img-TRXTRX+0.43%coin-img-DOGEDOGE-0.45%coin-img-SUISUI-0.07%coin-img-ETHETH-0.44%coin-img-BTCBTC+0.27%coin-img-SOLSOL+2.82%coin-img-USDCUSDC+0.03%coin-img-XRPXRP+0.04%coin-img-TRXTRX+0.43%coin-img-DOGEDOGE-0.45%coin-img-SUISUI-0.07%

Un exploit de 7,5 millones de dólares contra Jaredfromsubway expone los riesgos de seguridad en DeFi

El 20 de junio, el bot de Valor Extraíble Máximo (MEV) Jaredfromsubway.eth fue objeto de un exploit que provocó pérdidas por 7,5 millones de dólares. El atacante creó primero un token "wrapper" y un pool de liquidez diseñados para simular una oportunidad rentable. Cuando el bot interactuó con esa supuesta operación, el actor malicioso consiguió modificar de forma fraudulenta la lógica de trading del bot. La maniobra permitió engañar a bots MEV para que automatizaran el proceso de aprobación, otorgando a un contrato controlado por el atacante una aprobación persistente para retirar fondos. Entre lo sustraído figuraban 1.583 Ethereum (ETH), 2,87 millones en USD Coin (USDC) y 2,09 millones en Tether (USDT). Posteriormente, los activos se consolidaron y se canjearon por un total de 4.427 ETH, lo que facilitó el blanqueo al reducir la fragmentación de los fondos. Fuente del anuncio: X. Poco después, se detectaron múltiples transferencias idénticas de 100 ETH hacia Tornado Cash, cada una por un valor aproximado de 172.000 dólares. Este patrón es relevante porque los depósitos más pequeños dificultan el rastreo por parte de las autoridades. Con el aumento de la actividad de ocultación, al menos 1.000 ETH entraron en Tornado Cash. El movimiento sugiere que el atacante pasó de la extracción a la ocultación, y los investigadores siguen ahora los intentos de romper la trazabilidad onchain y complicar la recuperación. El caso se produce en un momento en el que los bots MEV siguen ampliando su influencia en los mercados onchain. Durante años, estos sistemas automatizados han evolucionado hasta convertirse en motores de ejecución de miles de millones de dólares, capaces de detectar y ejecutar oportunidades en varias blockchains, incluidas Ethereum (ETH), Solana (SOL) y redes de capa 2. A medida que se concentra más capital en estas infraestructuras, aumenta la relevancia del riesgo operativo. El exploit de Jaredfromsubway pone el foco en esa realidad: en lugar de encontrar un fallo en un smart contract, el atacante apuntó a las aprobaciones de tokens integradas en el flujo de trabajo del bot. La tendencia apunta a que los atacantes explotan permisos y accesos más que errores de programación. Pese a los numerosos incidentes con pérdidas de cientos de millones, las tasas de revocación de permisos siguen siendo muy bajas. Con la automatización impulsando la liquidez y el descubrimiento de precios en DeFi, la gestión de autorizaciones se perfila como uno de los principales frentes de seguridad. Resumen final: el exploit de 7,5 millones de dólares contra Jaredfromsubway muestra cómo los atacantes atacan cada vez más flujos de trabajo y permisos, en lugar de vulnerabilidades de código. La creciente concentración de capital en la infraestructura MEV eleva el coste de los fallos operativos en los mercados onchain.
Seleccionado
ETH
ETH-0.44%
USDC
USDC+0.03%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.