La Revelación del Robo en Raydium: Un Nuevo Riesgo en DeFi, Oculto en Contratos Antiguos y Olvidados

Foresight NewsPublicado a 2026-06-13Actualizado a 2026-06-13

Resumen

El incidente de Raydium, donde se perdieron aproximadamente 1,34 millones de dólares debido a la explotación de antiguos pools de liquidez del market maker automatizado V3, ha revelado una vulnerabilidad crítica en DeFi: los contratos inteligentes obsoletos y olvidados, que permanecen activos en la cadena de bloques, se están convirtiendo en objetivos de ataque. Este caso no es aislado. Desde marzo de 2025, se han registrado al menos 8 incidentes similares, con pérdidas totales de unos 22,5 millones de dólares, vinculados a contratos antiguos o infraestructura descuidada. El problema fundamental no es un error de código, sino un fallo en la gestión del ciclo de vida de los contratos: los proyectos no los desactivan completamente tras su retirada. Estos "contratos zombis", aunque no son utilizados por los usuarios principales, conservan activos y permisos de llamada. Al estar fuera del foco de mantenimiento, son objetivos fáciles. El ataque a Raydium explotó precisamente la falta de mecanismos de verificación en su viejo contrato V3. La solución requiere reconocer este riesgo como una categoría independiente y establecer un proceso estandarizado de desactivación segura. Esto debe incluir: eliminar permisos de administrador, retirar todos los activos, deshabilitar funciones clave, actualizar la documentación, realizar auditorías post-cierre, monitorear continuamente y notificar claramente a la comunidad. La seguridad de DeFi depende tanto de gestionar el presente como de cer...

Escrito por: Gino Matos

Compilado por: Luffy, Foresight News

TL;DR:

Un hacker explotó un grupo de liquidez V3 del creador de mercado automático de Raydium, que había estado fuera de servicio durante mucho tiempo, robando activos por valor de aproximadamente 1,34 millones de dólares.
Este incidente expone un problema general: los contratos antiguos que los proyectos DeFi han dado de baja siguen funcionando en la cadena. Esta infraestructura olvidada se ha convertido en un objetivo de ataque fácil de pasar por alto.
Informes públicos muestran que desde marzo de 2025, ha habido al menos 8 incidentes similares de robo en contratos antiguos y obsoletos en la industria, lo que significa que aún existe una gran cantidad de código antiguo sin mantenimiento que puede ser invocado externamente.

Recientemente, una vulnerabilidad en el creador de mercado automático (AMM) V3 de Raydium resultó en una pérdida de 1,34 millones de dólares. Este incidente estuvo relacionado con cinco grupos de liquidez fuera del sistema de productos actual del proyecto, que no son compatibles con la interfaz de usuario (UI) o el SDK de Raydium y a los que los usuarios normales no pueden acceder, pero que finalmente fueron explotados por un hacker.

Este ataque apuntó a contratos e infraestructura antigua y descuidada en la industria, revelando una importante brecha en la gestión del ciclo de vida completo de los contratos inteligentes. Este tipo de problema no es exclusivo de este intercambio descentralizado del ecosistema Solana.

Una Categoría de Riesgo Pasada por Alto

Según estadísticas de informes públicos de incidentes de seguridad, desde marzo de 2025 hasta ahora, ha habido al menos 8 casos confirmados de ataques dirigidos a contratos obsoletos, retirados o antiguos, con pérdidas acumuladas de aproximadamente 10,8 millones de dólares.

Si se incluyen en las estadísticas los incidentes de seguridad causados por grupos de liquidez antiguos y productos complementarios de versiones anteriores, la cantidad de incidentes relacionados alcanza los 10 (incluyendo este robo de Raydium), con un total de pérdidas de aproximadamente 22,5 millones de dólares.

La mayoría de las plataformas de seguimiento de incidentes de seguridad en la industria clasifican los tipos de ataque según su causa técnica. Las clasificaciones comunes incluyen: vulnerabilidades en el código de los contratos inteligentes, fallos en el control de permisos, manipulación de oráculos, filtraciones de claves privadas, defectos en puentes cruzados, etc.

Los contratos zombis (es decir, contratos antiguos que los proyectos anuncian como fuera de servicio pero que aún se pueden invocar normalmente en la cadena) pertenecen a una dimensión de riesgo completamente diferente. Son incidentes de seguridad causados por problemas en la gestión del ciclo de vida del contrato, pero siempre han quedado enterrados en las estadísticas de varias vulnerabilidades convencionales y no se han clasificado por separado.

La razón por la que se abandonaron los grupos de liquidez del creador de mercado automático V3 de Raydium fue el cierre oficial del proyecto Serum del que dependían, lo que dejó a estos contratos antiguos completamente sin su funcionalidad original y los activos de liquidez correspondientes inactivos en la cadena.

Los nuevos contratos que Raydium utiliza actualmente verifican dos veces información clave: primero, verifican la proporción de activos a través de un mecanismo de verificación de suministro total; segundo, verifican la dirección de acuñación de los tokens de liquidez y la información de varias cuentas relacionadas.

Pero este conjunto antiguo de contratos V3 omite por completo estos dos procesos de verificación. El hacker explotó esta vulnerabilidad para falsificar nuevos tokens de liquidez haciéndolos pasar por certificados legítimos, evadiendo así todas las reglas de control de riesgos.

En este incidente, se robaron aproximadamente 150,177 RAY, 5,603 SOL y 893,700 USDC. Estos activos habían estado depositados durante mucho tiempo en los antiguos grupos de liquidez de la plataforma. Aunque estaban fuera del negocio principal, los permisos de invocación en cadena nunca se cerraron.

Ocho Casos Expusieron Problemas Comunes

Desde 2025, varios proyectos DeFi conocidos han tenido problemas con contratos antiguos. Todos los incidentes presentan las mismas características: los equipos de los proyectos declaran que las versiones actuales de sus productos y los usuarios activos no se ven afectados, pero debido a que los contratos antiguos no se cerraron por completo, las pérdidas totales finalmente fueron cubiertas por las tesorerías de los proyectos.

Por Qué Se Pasa por Alto el Riesgo de los Contratos Antiguos

En la actualidad, la gran mayoría de los sistemas de clasificación de incidentes de seguridad en la industria se centran en los métodos de ataque, los objetos manipulados y los puntos de falla del código, lo que representa una perspectiva de análisis "desde la vulnerabilidad técnica". Esto también provoca que los incidentes de contratos zombis queden enmascarados. El núcleo de este tipo de problemas nunca ha sido un error en la escritura del código, sino que los proyectos deberían haber cerrado completamente los contratos antiguos y no lo hicieron.

Un documento de investigación de la industria de 2025 analizó 50 grandes incidentes de seguridad criptográficos a nivel mundial entre 2022 y 2025, con pérdidas acumuladas superiores a los 1.000 millones de dólares. El estudio señaló que los ataques en cadena de alto daño suelen ser el resultado de la superposición de riesgos en cadena, involucrando simultáneamente múltiples niveles como las operaciones manuales, el mantenimiento diario, los modelos económicos, el ciclo de vida de los contratos, la gobernanza comunitaria, etc.

El documento propone un marco de análisis de causas raíz de cuatro niveles, clasificando claramente las vulnerabilidades en la gestión del ciclo de vida del contrato y las vulnerabilidades en la gobernanza comunitaria como categorías de riesgo independientes de las vulnerabilidades en la escritura del código. Y el problema de los contratos zombis es precisamente una vulnerabilidad típica de la gestión del ciclo de vida. Pero en los sistemas de estadísticas de seguridad existentes, este tipo de incidentes se clasifican invariablemente como "vulnerabilidades de código", y sus datos de pérdidas correspondientes también se ocultan bajo otras clasificaciones, sin haber llamado la suficiente atención de la industria.

Alerta con el "Cementerio de Contratos": La Infraestructura Antigua se Ha Convertido en un Nuevo Punto de Ataque

Si los proyectos DeFi siguen considerando el "cierre de contratos" como algo insignificante y opcional, limitándose a marcar en la documentación del producto que "este contrato está fuera de servicio" sin transferir los activos inactivos, cerrar las funciones de invocación y monitorear continuamente su estado, los hackers seguirán apuntando a este "cementerio de contratos".

Cada registro histórico de despliegue de un gran proyecto DeFi se ha convertido ahora en un objetivo de ataque que los hackers pueden buscar y explotar. Las pérdidas de 22,5 millones de dólares actualmente estadísticas son solo el valor de los casos expuestos públicamente; el riesgo real es mucho mayor.

Los antiguos grupos de liquidez, las interfaces de autorización históricas y los módulos de integración de cooperación temprana que contienen activos pero están desconectados del flujo de uso principal de los usuarios, reciben mucho menos monitoreo y mantenimiento que los sistemas comerciales activos, convirtiéndose precisamente en el objetivo preferido de los hackers.

Para cambiar esta situación, primero hay que clasificar los "contratos zombis" como una categoría de riesgo independiente y realizar estadísticas separadas de incidentes. En segundo lugar, hay que incorporar el proceso de retirada de contratos en los flujos de seguridad estandarizados, dándole la misma importancia que a las auditorías de código. Solo realizando un mantenimiento completo del ciclo de vida se puede reducir eficazmente el alcance de los ataques.

Actualmente, la forma de abordar el problema es similar en toda la industria. Raydium utilizó la tesorería del proyecto para compensar las pérdidas de 1,34 millones de dólares; Transit Finance y Huma Finance también asumieron las pérdidas de los usuarios con los fondos del proyecto.

Esto también significa que la retirada de contratos ya no es solo un trabajo de anotación en la documentación, sino un eslabón esencial de control de seguridad.

Siete Estándares de Control de Seguridad para la Retirada de Contratos

Para el cierre de contratos antiguos, la industria puede establecer un proceso de control estandarizado. Los requisitos específicos y sus funciones son los siguientes:

Simplemente marcar en la documentación que "el contrato está fuera de servicio" solo transfiere el riesgo de seguridad a la tesorería del proyecto, mientras que el riesgo de ataque sigue existiendo. Anunciar la retirada solo a nivel de producto sin cerrarlo completamente a nivel técnico hace que el contrato antiguo permanezca en un estado invocable: el equipo del proyecto lo descuida, pero los hackers lo observan atentamente en todo momento.

El valor de los proyectos DeFi no solo se refleja en el volumen actual de activos bloqueados, sino que también se sedimenta en el código histórico y la arquitectura subyacente acumulados a lo largo del camino. Y esta historia olvidada se ha convertido ahora en una nueva brecha de seguridad.

Preguntas relacionadas

Q¿Cuál fue el principal factor que permitió el ataque a Raydium y cuánto se perdió?

AEl ataque a Raydium explotó un contrato antiguo (V3) que había sido dado de baja pero que seguía activo y accesible en la cadena de bloques. Este contrato obsoleto omitía dos controles de seguridad clave presentes en la versión nueva, permitiendo a los hackers crear tokens de liquidez falsificados. Las pérdidas ascendieron aproximadamente a 1.34 millones de dólares, incluyendo RAY, SOL y USDC.

Q¿Qué problema general en DeFi expone el incidente de Raydium?

AEl incidente expone un problema generalizado en el ecosistema DeFi: los contratos antiguos que han sido dados de baja o reemplazados por los proyectos, pero que no se desactivan completamente en la cadena de bloques. Estos 'contratos zombis' siguen siendo funcionales y accesibles, convirtiéndose en objetivos de ataque fáciles de pasar por alto, ya que a menudo quedan fuera del monitoreo y mantenimiento continuo.

QSegún el artículo, ¿cómo se clasifican típicamente los incidentes de seguridad en DeFi y por qué este caso es diferente?

ATípicamente, los incidentes de seguridad en DeFi se clasifican por su causa técnica raíz, como vulnerabilidades de código, fallos en el control de accesos, manipulación de oráculos o fugas de claves privadas. El caso de Raydium es diferente porque no se debe a un error de programación en sí, sino a una falla en la gestión del ciclo de vida del contrato: no se procedió a una desactivación técnica completa y segura del contrato obsoleto, una categoría de riesgo que a menudo no se trata por separado en las estadísticas.

Q¿Qué marco de análisis de cuatro capas se menciona en el artículo para entender los ataques de alta gravedad?

AEl artículo menciona un marco de análisis de cuatro capas derivado de un artículo de investigación de 2025. Este marco identifica que los ataques de alta gravedad suelen ser el resultado de una combinación de riesgos en múltiples niveles: 1) operaciones humanas y mantenimiento diario, 2) modelo económico, 3) ciclo de vida del contrato y 4) gobierno comunitario. El problema de los 'contratos zombis' se encuadra específicamente como una vulnerabilidad en la gestión del ciclo de vida.

Q¿Qué medidas sugiere el artículo para gestionar adecuadamente el retiro de contratos antiguos?

AEl artículo sugiere establecer un proceso de control estandarizado para la retirada de contratos antiguos. Esto incluye medidas como: la retirada completa de los activos de los fondos, la revocación de todos los permisos de acceso, la desactivación de funciones clave (como la capacidad de retirar o transferir), la actualización de la documentación, la notificación a la comunidad, el monitoreo continuo de la dirección del contrato y la publicación de un informe post-mortem. El objetivo es que la desactivación sea una parte integral de la seguridad, no solo una nota en la documentación.

Lecturas Relacionadas

"Compañeros robots" llegan al mercado: 3.800 unidades pre-vendidas en 10 días. Modelo masculino viste traje entallado, femenino admite maquillaje. Integran modelo de IA emocional 'de crianza'. Solo para adultos. Expertos: Precaución con riesgos éticos.

El robot humanoide U1 de la serie de YouWorld, creado por YouBot, se ha convertido en un producto de consumo pionero al venderse 3.800 unidades en solo 10 días de preventa, sumando millones de yuanes en depósitos. Diseñado como un compañero emocional, el U1 viene en versiones masculina y femenina, con trajes ajustados, maquillaje incluido y un modelo de IA "criable". Dirigido exclusivamente a adultos, está impulsado por 88 articulaciones de alta libertad y permite personalización estética. El éxito se atribuye a su enfoque como producto de "compensación emocional", dirigido a personas con poder adquisitivo, así como a consumidores influenciados por la cultura "anime" y "otaku". Sin embargo, expertos advierten sobre desafíos clave: control de la cadena de suministro, naturalidad en la interacción emocional y dilemas éticos. Los riesgos incluyen posibles problemas de derechos de autor debido a la personalización, dependencia emocional de los usuarios y la erosión de las relaciones interpersonales reales. Aunque este lanzamiento marca una transición importante del robot humanoide de prototipo a bien de consumo, su viabilidad a largo plazo dependerá de superar estos obstáculos técnicos y sociales.

marsbitHace 31 min(s)

"Compañeros robots" llegan al mercado: 3.800 unidades pre-vendidas en 10 días. Modelo masculino viste traje entallado, femenino admite maquillaje. Integran modelo de IA emocional 'de crianza'. Solo para adultos. Expertos: Precaución con riesgos éticos.

marsbitHace 31 min(s)

Solayer lanza Margin Trade para consolidar las operaciones perpetuas con múltiples activos en la mainnet

Solayer, una blockchain de capa 1 compatible con la Máquina Virtual de Solana (SVM), ha lanzado en mainnet "Margin Trade", una plataforma unificada de trading perpetuo de múltiples activos. Desarrollada con aportes de traders experimentados, la plataforma combina mercados tradicionales (como oro, petróleo y un índice sintético de acciones estadounidenses) y criptoactivos en un entorno descentralizado. Ofrece trading con margen cruzado, ejecución en tiempo real y eficiencia de capital, donde todos los movimientos se liquidan en cadena para garantizar transparencia y control no custodio. Respaldada por la alta velocidad de Solayer (330.000 TPS), Margin Trade también estrenó futuros perpetuos para el proyecto Pearl Research ($PRL) y planea añadir más activos y funcionalidad de margen aislado. Este lanzamiento consolida la ambición de Solayer de unificar los mercados de capitales tradicionales y digitales.

TheNewsCryptoHace 1 hora(s)

Solayer lanza Margin Trade para consolidar las operaciones perpetuas con múltiples activos en la mainnet

TheNewsCryptoHace 1 hora(s)

Los robots comienzan a 'devorar datos': La cadena de producción oculta desde las fábricas de datos en India hasta los robots humanoides de miles de millones de dólares

En una fábrica de ropa en la India, trabajadores llevan cámaras en la cabeza para grabar su trabajo desde una perspectiva en primera persona. Estos videos, convertidos en datos, se venden a empresas de inteligencia incorporada que necesitan grandes cantidades de información para entrenar robots. La industria de la inteligencia incorporada enfrenta un cuello de botella crítico: la falta de datos de entrenamiento de alta calidad. A diferencia de los modelos de lenguaje, que se nutren de vastos recursos de internet, los robots operan en un "desierto de datos" del mundo físico. Investigaciones como EgoScale de NVIDIA han demostrado que el uso de datos humanos en primera persona (Ego Data) para preentrenamiento, combinado con una pequeña cantidad de datos del robot, puede mejorar significativamente las capacidades de los robots, estableciendo una ruta de escalabilidad. Esto ha impulsado una nueva cadena de suministro de datos. Empresas en India y el sudeste asiático organizan "fábricas de datos" donde recolectores, siguiendo procedimientos estandarizados, generan miles de horas de videos Ego Data mostrando tareas como organizar una cocina o doblar ropa. Los datos se organizan en una "pirámide": en la base están los datos de internet (baratos pero de bajo valor para la acción), luego los Ego Data, seguidos por datos con guantes sensoriales para capturar movimientos finos de las manos, datos de simulación (abundantes pero con una brecha de realidad) y, en la cima, los costosos y escasos datos reales del robot, obtenidos mediante teleoperación. La industria de datos emergente incluye varios actores: fábricas de datos de bajo costo, proveedores especializados en captura y alineación de movimientos, servicios de teleoperación para datos del robot, empresas de datos de simulación y plataformas que buscan estandarizar el formato de los datos. Las compañías de robots adoptan un enfoque de "adquisición por capas": compran datos genéricos Ego Data a proveedores externos para el preentrenamiento, pero tienden a recolectar internamente los datos específicos para la adaptación de su hardware único y los datos de despliegue y fallos, que constituyen su ventaja competitiva central. El sector evoluciona hacia dos modelos: "fábricas de datos" que venden horas de datos procesados, y "motores de datos" que ofrecen un ecosistema completo para la mejora continua de los modelos. Se prevé la aparición de una empresa similar a Scale AI, pero adaptada a la complejidad de los datos físicos y del movimiento. La competencia en robótica está pasando de la fabricación de hardware a la capacidad de alimentar a los modelos con datos masivos y de alta calidad, una cadena de producción que ya conecta fábricas en India con laboratorios de robótica de alto valor en todo el mundo.

marsbitHace 3 hora(s)

Los robots comienzan a 'devorar datos': La cadena de producción oculta desde las fábricas de datos en India hasta los robots humanoides de miles de millones de dólares

marsbitHace 3 hora(s)

Comentario Picante｜Michael Saylor hace declaraciones de "chico malo"; una señora de 60 años "estafa a un joven" tras perder todo en futuros con apalancamiento

**Resumen en español europeo (c. 1500 caracteres)** La columna "辣评" (Comentarios Picantes) de esta semana analiza tres historias sobre riesgo, engaño y pérdidas en el mundo cripto. La primera destaca la polémica declaración de Michael Saylor, fundador de MicroStrategy. En un evento, aclaró que su famoso lema "nunca vendas Bitcoin" estaba dirigido a inversores individuales, no a su empresa, la cual podría vender si fuera necesario. Esto generó críticas en redes sociales, donde usuarios lo acusan de "jugar con las palabras" y recordaron declaraciones previas donde parecía implicar que la empresa tampoco vendería. La segunda historia relata un insólito caso de estafa en Beijing. Una mujer de 60 años, obsesionada con las criptomonedas, engañó a un joven haciéndose pasar por la "madrina" de una ficticia joven funcionaria llamada "Xiaohong", con quien el joven entabló una relación por chat. La estafadora, interpretando ambos papeles, le sacó más de 200,000 yuanes con excusas varias. El dinero fue invertido en cripto con x10 apalancamiento, resultando en una pérdida total tras un *margin call*. La mujer fue condenada a 4 años de prisión. La tercera parte comenta un desgarrador testimonio publicado en Reddit. Un trader anónimo compartió que su patrimonio neto alcanzó un pico de 45 millones de dólares gracias a inversiones en *memecoins*, pero que ahora se ha reducido a unos 17,200 dólares. Su post "Pregúntame lo que quieras" generó una ola de reacciones, con usuarios expresando conmiseración, asombro y consejos sobre la importancia de tomar ganancias y diversificar, criticando la adicción al juego que su historia refleja. El artículo concluye señalando que en el ecosistema cripto, esta semana hubo quien jugó con la semántica, quien con el engaño y quien con fuego, recordando los altos riesgos y la volatilidad inherentes al sector.

Foresight NewsHace 4 hora(s)

Comentario Picante｜Michael Saylor hace declaraciones de "chico malo"; una señora de 60 años "estafa a un joven" tras perder todo en futuros con apalancamiento

Foresight NewsHace 4 hora(s)

Tiemblen humanos, la IA sigue acelerando a toda velocidad

Sí, la IA sigue avanzando a toda velocidad. Aunque algunos creían que la Ley de Escalado (Scaling Law) podría estar tocando techo, expertos en la conferencia BAAI 2026 señalaron que está lejos de agotarse. Su efecto continúa impulsando modelos de lenguaje grandes (LLM) y multimodales. La IA también está aprendiendo a "auto-evolucionarse", usando IA para escribir y actualizar código, acercándose a la posibilidad de tomar el control del mundo digital. El próximo campo de batalla clave son los **Modelos Mundiales (World Models)**, que buscan que la IA comprenda e interactúe con el mundo físico. Sin embargo, aún no existe un consenso sobre la ruta técnica óptima (basada en lenguaje, píxeles, estructuras 3D o representaciones visuales) y persisten desafíos con los datos. Se estima que su desarrollo y convergencia llevarán de 3 a 5 años más. En el frente de la aplicación, los **Agentes (Agents)** son clave para llevar la IA a la vida cotidiana. Han pasado de ser "utilizables" a empezar a ser "útiles", volviéndose más proactivos y capaces de manejar tareas complejas en campos como la medicina o la investigación. Para que sean realmente "buenos", es crucial perfeccionar el **Harness**: el marco o entorno de ingeniería que gestiona la comprensión de la intención del usuario, la planificación de tareas, la ejecución y la verificación, superando las limitaciones del modelo solo. En resumen, la IA está en una carrera acelerada en dos frentes: hacia dentro, dominando y auto-evolucionando el mundo digital; y hacia fuera, buscando comprender y actuar en el mundo físico a través de Modelos Mundiales y Agentes más competentes.

marsbitHace 4 hora(s)

Tiemblen humanos, la IA sigue acelerando a toda velocidad