La Revelación del Robo en Raydium: Un Nuevo Riesgo en DeFi, Oculto en Contratos Antiguos y Olvidados

Foresight NewsPublicado a 2026-06-13Actualizado a 2026-06-13

Resumen

El incidente de Raydium, donde se perdieron aproximadamente 1,34 millones de dólares debido a la explotación de antiguos pools de liquidez del market maker automatizado V3, ha revelado una vulnerabilidad crítica en DeFi: los contratos inteligentes obsoletos y olvidados, que permanecen activos en la cadena de bloques, se están convirtiendo en objetivos de ataque. Este caso no es aislado. Desde marzo de 2025, se han registrado al menos 8 incidentes similares, con pérdidas totales de unos 22,5 millones de dólares, vinculados a contratos antiguos o infraestructura descuidada. El problema fundamental no es un error de código, sino un fallo en la gestión del ciclo de vida de los contratos: los proyectos no los desactivan completamente tras su retirada. Estos "contratos zombis", aunque no son utilizados por los usuarios principales, conservan activos y permisos de llamada. Al estar fuera del foco de mantenimiento, son objetivos fáciles. El ataque a Raydium explotó precisamente la falta de mecanismos de verificación en su viejo contrato V3. La solución requiere reconocer este riesgo como una categoría independiente y establecer un proceso estandarizado de desactivación segura. Esto debe incluir: eliminar permisos de administrador, retirar todos los activos, deshabilitar funciones clave, actualizar la documentación, realizar auditorías post-cierre, monitorear continuamente y notificar claramente a la comunidad. La seguridad de DeFi depende tanto de gestionar el presente como de cer...

Escrito por: Gino Matos

Compilado por: Luffy, Foresight News

TL;DR:

Un hacker explotó un grupo de liquidez V3 del creador de mercado automático de Raydium, que había estado fuera de servicio durante mucho tiempo, robando activos por valor de aproximadamente 1,34 millones de dólares.
Este incidente expone un problema general: los contratos antiguos que los proyectos DeFi han dado de baja siguen funcionando en la cadena. Esta infraestructura olvidada se ha convertido en un objetivo de ataque fácil de pasar por alto.
Informes públicos muestran que desde marzo de 2025, ha habido al menos 8 incidentes similares de robo en contratos antiguos y obsoletos en la industria, lo que significa que aún existe una gran cantidad de código antiguo sin mantenimiento que puede ser invocado externamente.

Recientemente, una vulnerabilidad en el creador de mercado automático (AMM) V3 de Raydium resultó en una pérdida de 1,34 millones de dólares. Este incidente estuvo relacionado con cinco grupos de liquidez fuera del sistema de productos actual del proyecto, que no son compatibles con la interfaz de usuario (UI) o el SDK de Raydium y a los que los usuarios normales no pueden acceder, pero que finalmente fueron explotados por un hacker.

Este ataque apuntó a contratos e infraestructura antigua y descuidada en la industria, revelando una importante brecha en la gestión del ciclo de vida completo de los contratos inteligentes. Este tipo de problema no es exclusivo de este intercambio descentralizado del ecosistema Solana.

Una Categoría de Riesgo Pasada por Alto

Según estadísticas de informes públicos de incidentes de seguridad, desde marzo de 2025 hasta ahora, ha habido al menos 8 casos confirmados de ataques dirigidos a contratos obsoletos, retirados o antiguos, con pérdidas acumuladas de aproximadamente 10,8 millones de dólares.

Si se incluyen en las estadísticas los incidentes de seguridad causados por grupos de liquidez antiguos y productos complementarios de versiones anteriores, la cantidad de incidentes relacionados alcanza los 10 (incluyendo este robo de Raydium), con un total de pérdidas de aproximadamente 22,5 millones de dólares.

La mayoría de las plataformas de seguimiento de incidentes de seguridad en la industria clasifican los tipos de ataque según su causa técnica. Las clasificaciones comunes incluyen: vulnerabilidades en el código de los contratos inteligentes, fallos en el control de permisos, manipulación de oráculos, filtraciones de claves privadas, defectos en puentes cruzados, etc.

Los contratos zombis (es decir, contratos antiguos que los proyectos anuncian como fuera de servicio pero que aún se pueden invocar normalmente en la cadena) pertenecen a una dimensión de riesgo completamente diferente. Son incidentes de seguridad causados por problemas en la gestión del ciclo de vida del contrato, pero siempre han quedado enterrados en las estadísticas de varias vulnerabilidades convencionales y no se han clasificado por separado.

La razón por la que se abandonaron los grupos de liquidez del creador de mercado automático V3 de Raydium fue el cierre oficial del proyecto Serum del que dependían, lo que dejó a estos contratos antiguos completamente sin su funcionalidad original y los activos de liquidez correspondientes inactivos en la cadena.

Los nuevos contratos que Raydium utiliza actualmente verifican dos veces información clave: primero, verifican la proporción de activos a través de un mecanismo de verificación de suministro total; segundo, verifican la dirección de acuñación de los tokens de liquidez y la información de varias cuentas relacionadas.

Pero este conjunto antiguo de contratos V3 omite por completo estos dos procesos de verificación. El hacker explotó esta vulnerabilidad para falsificar nuevos tokens de liquidez haciéndolos pasar por certificados legítimos, evadiendo así todas las reglas de control de riesgos.

En este incidente, se robaron aproximadamente 150,177 RAY, 5,603 SOL y 893,700 USDC. Estos activos habían estado depositados durante mucho tiempo en los antiguos grupos de liquidez de la plataforma. Aunque estaban fuera del negocio principal, los permisos de invocación en cadena nunca se cerraron.

Ocho Casos Expusieron Problemas Comunes

Desde 2025, varios proyectos DeFi conocidos han tenido problemas con contratos antiguos. Todos los incidentes presentan las mismas características: los equipos de los proyectos declaran que las versiones actuales de sus productos y los usuarios activos no se ven afectados, pero debido a que los contratos antiguos no se cerraron por completo, las pérdidas totales finalmente fueron cubiertas por las tesorerías de los proyectos.

Por Qué Se Pasa por Alto el Riesgo de los Contratos Antiguos

En la actualidad, la gran mayoría de los sistemas de clasificación de incidentes de seguridad en la industria se centran en los métodos de ataque, los objetos manipulados y los puntos de falla del código, lo que representa una perspectiva de análisis "desde la vulnerabilidad técnica". Esto también provoca que los incidentes de contratos zombis queden enmascarados. El núcleo de este tipo de problemas nunca ha sido un error en la escritura del código, sino que los proyectos deberían haber cerrado completamente los contratos antiguos y no lo hicieron.

Un documento de investigación de la industria de 2025 analizó 50 grandes incidentes de seguridad criptográficos a nivel mundial entre 2022 y 2025, con pérdidas acumuladas superiores a los 1.000 millones de dólares. El estudio señaló que los ataques en cadena de alto daño suelen ser el resultado de la superposición de riesgos en cadena, involucrando simultáneamente múltiples niveles como las operaciones manuales, el mantenimiento diario, los modelos económicos, el ciclo de vida de los contratos, la gobernanza comunitaria, etc.

El documento propone un marco de análisis de causas raíz de cuatro niveles, clasificando claramente las vulnerabilidades en la gestión del ciclo de vida del contrato y las vulnerabilidades en la gobernanza comunitaria como categorías de riesgo independientes de las vulnerabilidades en la escritura del código. Y el problema de los contratos zombis es precisamente una vulnerabilidad típica de la gestión del ciclo de vida. Pero en los sistemas de estadísticas de seguridad existentes, este tipo de incidentes se clasifican invariablemente como "vulnerabilidades de código", y sus datos de pérdidas correspondientes también se ocultan bajo otras clasificaciones, sin haber llamado la suficiente atención de la industria.

Alerta con el "Cementerio de Contratos": La Infraestructura Antigua se Ha Convertido en un Nuevo Punto de Ataque

Si los proyectos DeFi siguen considerando el "cierre de contratos" como algo insignificante y opcional, limitándose a marcar en la documentación del producto que "este contrato está fuera de servicio" sin transferir los activos inactivos, cerrar las funciones de invocación y monitorear continuamente su estado, los hackers seguirán apuntando a este "cementerio de contratos".

Cada registro histórico de despliegue de un gran proyecto DeFi se ha convertido ahora en un objetivo de ataque que los hackers pueden buscar y explotar. Las pérdidas de 22,5 millones de dólares actualmente estadísticas son solo el valor de los casos expuestos públicamente; el riesgo real es mucho mayor.

Los antiguos grupos de liquidez, las interfaces de autorización históricas y los módulos de integración de cooperación temprana que contienen activos pero están desconectados del flujo de uso principal de los usuarios, reciben mucho menos monitoreo y mantenimiento que los sistemas comerciales activos, convirtiéndose precisamente en el objetivo preferido de los hackers.

Para cambiar esta situación, primero hay que clasificar los "contratos zombis" como una categoría de riesgo independiente y realizar estadísticas separadas de incidentes. En segundo lugar, hay que incorporar el proceso de retirada de contratos en los flujos de seguridad estandarizados, dándole la misma importancia que a las auditorías de código. Solo realizando un mantenimiento completo del ciclo de vida se puede reducir eficazmente el alcance de los ataques.

Actualmente, la forma de abordar el problema es similar en toda la industria. Raydium utilizó la tesorería del proyecto para compensar las pérdidas de 1,34 millones de dólares; Transit Finance y Huma Finance también asumieron las pérdidas de los usuarios con los fondos del proyecto.

Esto también significa que la retirada de contratos ya no es solo un trabajo de anotación en la documentación, sino un eslabón esencial de control de seguridad.

Siete Estándares de Control de Seguridad para la Retirada de Contratos

Para el cierre de contratos antiguos, la industria puede establecer un proceso de control estandarizado. Los requisitos específicos y sus funciones son los siguientes:

Simplemente marcar en la documentación que "el contrato está fuera de servicio" solo transfiere el riesgo de seguridad a la tesorería del proyecto, mientras que el riesgo de ataque sigue existiendo. Anunciar la retirada solo a nivel de producto sin cerrarlo completamente a nivel técnico hace que el contrato antiguo permanezca en un estado invocable: el equipo del proyecto lo descuida, pero los hackers lo observan atentamente en todo momento.

El valor de los proyectos DeFi no solo se refleja en el volumen actual de activos bloqueados, sino que también se sedimenta en el código histórico y la arquitectura subyacente acumulados a lo largo del camino. Y esta historia olvidada se ha convertido ahora en una nueva brecha de seguridad.

Preguntas relacionadas

Q¿Cuál fue el principal factor que permitió el ataque a Raydium y cuánto se perdió?

AEl ataque a Raydium explotó un contrato antiguo (V3) que había sido dado de baja pero que seguía activo y accesible en la cadena de bloques. Este contrato obsoleto omitía dos controles de seguridad clave presentes en la versión nueva, permitiendo a los hackers crear tokens de liquidez falsificados. Las pérdidas ascendieron aproximadamente a 1.34 millones de dólares, incluyendo RAY, SOL y USDC.

Q¿Qué problema general en DeFi expone el incidente de Raydium?

AEl incidente expone un problema generalizado en el ecosistema DeFi: los contratos antiguos que han sido dados de baja o reemplazados por los proyectos, pero que no se desactivan completamente en la cadena de bloques. Estos 'contratos zombis' siguen siendo funcionales y accesibles, convirtiéndose en objetivos de ataque fáciles de pasar por alto, ya que a menudo quedan fuera del monitoreo y mantenimiento continuo.

QSegún el artículo, ¿cómo se clasifican típicamente los incidentes de seguridad en DeFi y por qué este caso es diferente?

ATípicamente, los incidentes de seguridad en DeFi se clasifican por su causa técnica raíz, como vulnerabilidades de código, fallos en el control de accesos, manipulación de oráculos o fugas de claves privadas. El caso de Raydium es diferente porque no se debe a un error de programación en sí, sino a una falla en la gestión del ciclo de vida del contrato: no se procedió a una desactivación técnica completa y segura del contrato obsoleto, una categoría de riesgo que a menudo no se trata por separado en las estadísticas.

Q¿Qué marco de análisis de cuatro capas se menciona en el artículo para entender los ataques de alta gravedad?

AEl artículo menciona un marco de análisis de cuatro capas derivado de un artículo de investigación de 2025. Este marco identifica que los ataques de alta gravedad suelen ser el resultado de una combinación de riesgos en múltiples niveles: 1) operaciones humanas y mantenimiento diario, 2) modelo económico, 3) ciclo de vida del contrato y 4) gobierno comunitario. El problema de los 'contratos zombis' se encuadra específicamente como una vulnerabilidad en la gestión del ciclo de vida.

Q¿Qué medidas sugiere el artículo para gestionar adecuadamente el retiro de contratos antiguos?

AEl artículo sugiere establecer un proceso de control estandarizado para la retirada de contratos antiguos. Esto incluye medidas como: la retirada completa de los activos de los fondos, la revocación de todos los permisos de acceso, la desactivación de funciones clave (como la capacidad de retirar o transferir), la actualización de la documentación, la notificación a la comunidad, el monitoreo continuo de la dirección del contrato y la publicación de un informe post-mortem. El objetivo es que la desactivación sea una parte integral de la seguridad, no solo una nota en la documentación.

Lecturas Relacionadas

¿Claude fuerza a "registrarse con reconocimiento facial"? ¿A partir de julio no se podrá usar sin entregar el DNI?

Anthropic, la empresa detrás de la IA Claude, ha notificado a sus usuarios una importante actualización de su política de privacidad, que entrará en vigor el 8 de julio. El cambio principal es la posibilidad de que se requiera a los usuarios verificar su edad o identidad para reforzar la seguridad. Esta verificación se realizaría a través del servicio de un tercero, Persona, e implicaría subir un documento de identidad oficial con fotografía (como pasaporte o carnet de conducir) y una fotografía en tiempo real para comparación. La actualización, dirigida a cuentas de consumo individual (gratuitas, Pro y Max), explica que esta medida es parte de los esfuerzos para garantizar la seguridad y fiabilidad del servicio, especialmente a medida que Claude adquiere más capacidades de "agente". Estas capacidades permiten a la IA realizar tareas de varios pasos e integrarse con aplicaciones de terceros (como Google Drive o Slack), lo que significa que los datos de los usuarios pueden fluir fuera de los servidores de Anthropic. La compañía afirma que los datos de verificación no se utilizarán para entrenar sus modelos, no se almacenarán en sus servidores y que su uso será para escenarios específicos de seguridad y cumplimiento. Sin embargo, este anuncio ha generado preocupación entre los usuarios sobre una mayor recopilación de datos personales y un posible fin de la era de relativo anonimato en el uso de asistentes de IA avanzados. Algunos lo interpretan como una respuesta a incidentes anteriores, como la suspensión de cuentas por uso indebido, y como el comienzo de una etapa de mayor trazabilidad y responsabilidad a medida que los agentes de IA se vuelven más autónomos y potentes.

链捕手Hace 5 min(s)

¿Claude fuerza a "registrarse con reconocimiento facial"? ¿A partir de julio no se podrá usar sin entregar el DNI?

链捕手Hace 5 min(s)

La blockchain finalmente comienza a navegar hacia el canal principal después de 18 años

El veterano fondo de capital de riesgo cripto Variant ha recaudado un nuevo fondo de 222 millones de dólares, ampliando su tema de inversión de "propiedad digital" a "autonomía". Esto señala un cambio estratégico: la tecnología blockchain ya no se ve como un sector de inversión aislado, sino como una capa tecnológica fundamental que se integrará en áreas principales como la IA, las finanzas, las redes sociales y la robótica. Ante la reducción del efecto riqueza en el mercado cripto y la creciente competencia por la atención y el capital de la IA, los fondos cripto como Paradigm, Haun Ventures y YZi Labs están ampliando sus horizontes de inversión más allá del ecosistema blockchain. La tesis emergente es que la verdadera aplicación a gran escala de la criptografía podría llegar a través de los agentes de IA y la economía robótica, donde las capacidades de blockchain (pagos globales, contratos inteligentes, identidad en cadena) pueden servir como infraestructura financiera crítica para transacciones autónomas entre máquinas. Un caso ilustrativo es la inversión de Tether en NEURA Robotics, que planea integrar carteras autogestionadas en sus robots, permitiendo micro-pagos y transacciones automatizadas. Esto representa un cambio clave: la criptografía no necesita ser la aplicación frontal, sino la "vía" subyacente para la actividad económica automatizada. Sin embargo, la convergencia IA-Cripto no es una fórmula mágica. Los proyectos valiosos deben demostrar que la tecnología blockchain es esencial, no solo un añadido. El futuro del sector puede depender de su capacidad para satisfacer la nueva demanda real generada por la autonomía de las máquinas y los agentes de IA, más que de buscar un crecimiento especulativo.

marsbitHace 12 min(s)

La blockchain finalmente comienza a navegar hacia el canal principal después de 18 años

marsbitHace 12 min(s)

La cadena de bloques tardó 18 años en comenzar a navegar hacia el canal principal

El veterano fondo de capital riesgo cripto Variant anunció este mes una nueva ronda de financiación de 222 millones de dólares, ampliando su enfoque de "propiedad digital" hacia la "autonomía". Esto señala un cambio estratégico: la tecnología blockchain está dejando de ser un nicho de inversión aislado para integrarse como una capa tecnológica fundamental en áreas como la IA, las finanzas, las redes sociales o la robótica. Este movimiento refleja una respuesta realista al impacto de la IA: en lugar de competir por la narrativa, blockchain busca posicionarse como la infraestructura financiera y de verificación subyacente en el mundo de la IA. Fondos como Paradigm, Haun Ventures o YZi Labs también están ampliando sus horizontes más allá del ámbito puramente cripto. El artículo argumenta que la aplicación masiva de blockchain podría llegar a través de los agentes de IA (AI Agents). Para operar de forma autónoma, estos agentes necesitarán carteras digitales, redes de pago globales y sistemas de identidad y reputación portables, capacidades que la tecnología blockchain ha estado desarrollando. Un ejemplo es la inversión de Tether en NEURA Robotics, que planea integrar herramientas de cartera cripto en sus robots para permitir micropagos y transacciones automatizadas. Sin embargo, la fusión IA-Crypto no es una fórmula mágica. Debe demostrar un valor real: la tecnología blockchain debe ser esencial o mejorar significativamente la aplicación. Los proyectos meramente especulativos no resolverán los problemas de adopción. La conclusión es clara: la industria cripto necesita integrarse en las grandes corrientes tecnológicas como la IA para encontrar una demanda real y sostenible, más allá de los ciclos especulativos. Su futuro podría depender de convertirse en la "capa de asentamiento" para la economía automatizada.

链捕手Hace 18 min(s)

La cadena de bloques tardó 18 años en comenzar a navegar hacia el canal principal

链捕手Hace 18 min(s)

El cofundador de Y Combinator: ¿Cómo ganar mil millones de dólares?

En su discurso en la Oxford Union, Paul Graham, cofundador de Y Combinator, explica cómo es posible, e incluso habitual en el mundo de las startups, convertirse en multimillonario de manera legítima. Rechaza la idea de que se requieran prácticas abusivas, argumentando que la riqueza se genera a través del crecimiento exponencial impulsado por un producto excepcional. La clave reside en dos variables: la tasa de crecimiento mensual y el tiempo que se mantenga. Con un crecimiento modesto del 15% mensual, una startup puede multiplicar sus ingresos por miles en pocos años, haciendo millonario a su fundador. Para lograr este crecimiento, el producto debe ser tan bueno que los usuarios lo recomienden orgánicamente. Graham aconseja a los jóvenes emprendedores que construyan soluciones para problemas que ellos mismos y sus amigos tengan, ya que sus necesidades actuales son un indicador de las tendencias futuras. Enfatiza que las mejores ideas surgen de trabajar en proyectos interesantes, no de buscar obsesivamente "la idea perfecta". La esencia del éxito es una profunda comprensión del usuario y la capacidad de mejorar su vida con el producto, un proceso que, guiado por la empatía y la innovación, genera riqueza de forma legítima y escalable.

Foresight NewsHace 22 min(s)

El cofundador de Y Combinator: ¿Cómo ganar mil millones de dólares?

Foresight NewsHace 22 min(s)

El estándar de 800V promovido por NVIDIA, ¿qué fabricantes de infraestructura se benefician?

TL;DR: En los próximos años, la infraestructura de IA no dependerá solo de las GPU, sino también de la capacidad para alimentar y refrigerar armarios de servidores de alta potencia. NVIDIA está promoviendo activamente el estándar de 800V CC para abordar este desafío, ya que los sistemas de baja tensión se acercan a sus límites físicos con densidades de potencia que alcanzan los 100-200 kW. La arquitectura de 800V CC permite una distribución eléctrica más eficiente, reduciendo pérdidas, uso de cobre y liberando espacio en el armario. NVIDIA ha definido una arquitectura de referencia involucrando a un ecosistema de socios como Vertiv, Schneider Electric, Delta Electronics, Infineon y STMicroelectronics. Esto pone en primer plano a empresas de: 1. **Infraestructura eléctrica**: para diseño de distribución, alimentación de armarios y sistemas CC. 2. **Semiconductores de potencia**: como SiC/GaN, cruciales para conversión eficiente. 3. **Conectividad y estructura**: busbars, conectores de alta tensión y PCB especializados. 4. **Refrigeración líquida y ODM de armarios**: capacidad para pruebas "burn-in" a plena carga. La adopción será gradual, enfocándose primero en "AI factories" de alta densidad. La producción a gran escala está alineada con los sistemas Kyber de NVIDIA para 2027. El valor diferencial ya no está solo en ensamblar GPUs, sino en entregar sistemas completos de alta potencia de manera estable y fiable.

marsbitHace 43 min(s)

El estándar de 800V promovido por NVIDIA, ¿qué fabricantes de infraestructura se benefician?