La Revelación del Robo en Raydium: Un Nuevo Riesgo en DeFi, Oculto en Contratos Antiguos y Olvidados

Foresight NewsPublicado a 2026-06-13Actualizado a 2026-06-13

Resumen

El incidente de Raydium, donde se perdieron aproximadamente 1,34 millones de dólares debido a la explotación de antiguos pools de liquidez del market maker automatizado V3, ha revelado una vulnerabilidad crítica en DeFi: los contratos inteligentes obsoletos y olvidados, que permanecen activos en la cadena de bloques, se están convirtiendo en objetivos de ataque. Este caso no es aislado. Desde marzo de 2025, se han registrado al menos 8 incidentes similares, con pérdidas totales de unos 22,5 millones de dólares, vinculados a contratos antiguos o infraestructura descuidada. El problema fundamental no es un error de código, sino un fallo en la gestión del ciclo de vida de los contratos: los proyectos no los desactivan completamente tras su retirada. Estos "contratos zombis", aunque no son utilizados por los usuarios principales, conservan activos y permisos de llamada. Al estar fuera del foco de mantenimiento, son objetivos fáciles. El ataque a Raydium explotó precisamente la falta de mecanismos de verificación en su viejo contrato V3. La solución requiere reconocer este riesgo como una categoría independiente y establecer un proceso estandarizado de desactivación segura. Esto debe incluir: eliminar permisos de administrador, retirar todos los activos, deshabilitar funciones clave, actualizar la documentación, realizar auditorías post-cierre, monitorear continuamente y notificar claramente a la comunidad. La seguridad de DeFi depende tanto de gestionar el presente como de cer...


Escrito por: Gino Matos

Compilado por: Luffy, Foresight News


TL;DR:


  • Un hacker explotó un grupo de liquidez V3 del creador de mercado automático de Raydium, que había estado fuera de servicio durante mucho tiempo, robando activos por valor de aproximadamente 1,34 millones de dólares.
  • Este incidente expone un problema general: los contratos antiguos que los proyectos DeFi han dado de baja siguen funcionando en la cadena. Esta infraestructura olvidada se ha convertido en un objetivo de ataque fácil de pasar por alto.
  • Informes públicos muestran que desde marzo de 2025, ha habido al menos 8 incidentes similares de robo en contratos antiguos y obsoletos en la industria, lo que significa que aún existe una gran cantidad de código antiguo sin mantenimiento que puede ser invocado externamente.


Recientemente, una vulnerabilidad en el creador de mercado automático (AMM) V3 de Raydium resultó en una pérdida de 1,34 millones de dólares. Este incidente estuvo relacionado con cinco grupos de liquidez fuera del sistema de productos actual del proyecto, que no son compatibles con la interfaz de usuario (UI) o el SDK de Raydium y a los que los usuarios normales no pueden acceder, pero que finalmente fueron explotados por un hacker.


Este ataque apuntó a contratos e infraestructura antigua y descuidada en la industria, revelando una importante brecha en la gestión del ciclo de vida completo de los contratos inteligentes. Este tipo de problema no es exclusivo de este intercambio descentralizado del ecosistema Solana.


Una Categoría de Riesgo Pasada por Alto


Según estadísticas de informes públicos de incidentes de seguridad, desde marzo de 2025 hasta ahora, ha habido al menos 8 casos confirmados de ataques dirigidos a contratos obsoletos, retirados o antiguos, con pérdidas acumuladas de aproximadamente 10,8 millones de dólares.


Si se incluyen en las estadísticas los incidentes de seguridad causados por grupos de liquidez antiguos y productos complementarios de versiones anteriores, la cantidad de incidentes relacionados alcanza los 10 (incluyendo este robo de Raydium), con un total de pérdidas de aproximadamente 22,5 millones de dólares.


La mayoría de las plataformas de seguimiento de incidentes de seguridad en la industria clasifican los tipos de ataque según su causa técnica. Las clasificaciones comunes incluyen: vulnerabilidades en el código de los contratos inteligentes, fallos en el control de permisos, manipulación de oráculos, filtraciones de claves privadas, defectos en puentes cruzados, etc.


Los contratos zombis (es decir, contratos antiguos que los proyectos anuncian como fuera de servicio pero que aún se pueden invocar normalmente en la cadena) pertenecen a una dimensión de riesgo completamente diferente. Son incidentes de seguridad causados por problemas en la gestión del ciclo de vida del contrato, pero siempre han quedado enterrados en las estadísticas de varias vulnerabilidades convencionales y no se han clasificado por separado.



La razón por la que se abandonaron los grupos de liquidez del creador de mercado automático V3 de Raydium fue el cierre oficial del proyecto Serum del que dependían, lo que dejó a estos contratos antiguos completamente sin su funcionalidad original y los activos de liquidez correspondientes inactivos en la cadena.


Los nuevos contratos que Raydium utiliza actualmente verifican dos veces información clave: primero, verifican la proporción de activos a través de un mecanismo de verificación de suministro total; segundo, verifican la dirección de acuñación de los tokens de liquidez y la información de varias cuentas relacionadas.


Pero este conjunto antiguo de contratos V3 omite por completo estos dos procesos de verificación. El hacker explotó esta vulnerabilidad para falsificar nuevos tokens de liquidez haciéndolos pasar por certificados legítimos, evadiendo así todas las reglas de control de riesgos.


En este incidente, se robaron aproximadamente 150,177 RAY, 5,603 SOL y 893,700 USDC. Estos activos habían estado depositados durante mucho tiempo en los antiguos grupos de liquidez de la plataforma. Aunque estaban fuera del negocio principal, los permisos de invocación en cadena nunca se cerraron.


Ocho Casos Expusieron Problemas Comunes


Desde 2025, varios proyectos DeFi conocidos han tenido problemas con contratos antiguos. Todos los incidentes presentan las mismas características: los equipos de los proyectos declaran que las versiones actuales de sus productos y los usuarios activos no se ven afectados, pero debido a que los contratos antiguos no se cerraron por completo, las pérdidas totales finalmente fueron cubiertas por las tesorerías de los proyectos.



Por Qué Se Pasa por Alto el Riesgo de los Contratos Antiguos


En la actualidad, la gran mayoría de los sistemas de clasificación de incidentes de seguridad en la industria se centran en los métodos de ataque, los objetos manipulados y los puntos de falla del código, lo que representa una perspectiva de análisis "desde la vulnerabilidad técnica". Esto también provoca que los incidentes de contratos zombis queden enmascarados. El núcleo de este tipo de problemas nunca ha sido un error en la escritura del código, sino que los proyectos deberían haber cerrado completamente los contratos antiguos y no lo hicieron.


Un documento de investigación de la industria de 2025 analizó 50 grandes incidentes de seguridad criptográficos a nivel mundial entre 2022 y 2025, con pérdidas acumuladas superiores a los 1.000 millones de dólares. El estudio señaló que los ataques en cadena de alto daño suelen ser el resultado de la superposición de riesgos en cadena, involucrando simultáneamente múltiples niveles como las operaciones manuales, el mantenimiento diario, los modelos económicos, el ciclo de vida de los contratos, la gobernanza comunitaria, etc.


El documento propone un marco de análisis de causas raíz de cuatro niveles, clasificando claramente las vulnerabilidades en la gestión del ciclo de vida del contrato y las vulnerabilidades en la gobernanza comunitaria como categorías de riesgo independientes de las vulnerabilidades en la escritura del código. Y el problema de los contratos zombis es precisamente una vulnerabilidad típica de la gestión del ciclo de vida. Pero en los sistemas de estadísticas de seguridad existentes, este tipo de incidentes se clasifican invariablemente como "vulnerabilidades de código", y sus datos de pérdidas correspondientes también se ocultan bajo otras clasificaciones, sin haber llamado la suficiente atención de la industria.


Alerta con el "Cementerio de Contratos": La Infraestructura Antigua se Ha Convertido en un Nuevo Punto de Ataque


Si los proyectos DeFi siguen considerando el "cierre de contratos" como algo insignificante y opcional, limitándose a marcar en la documentación del producto que "este contrato está fuera de servicio" sin transferir los activos inactivos, cerrar las funciones de invocación y monitorear continuamente su estado, los hackers seguirán apuntando a este "cementerio de contratos".


Cada registro histórico de despliegue de un gran proyecto DeFi se ha convertido ahora en un objetivo de ataque que los hackers pueden buscar y explotar. Las pérdidas de 22,5 millones de dólares actualmente estadísticas son solo el valor de los casos expuestos públicamente; el riesgo real es mucho mayor.


Los antiguos grupos de liquidez, las interfaces de autorización históricas y los módulos de integración de cooperación temprana que contienen activos pero están desconectados del flujo de uso principal de los usuarios, reciben mucho menos monitoreo y mantenimiento que los sistemas comerciales activos, convirtiéndose precisamente en el objetivo preferido de los hackers.


Para cambiar esta situación, primero hay que clasificar los "contratos zombis" como una categoría de riesgo independiente y realizar estadísticas separadas de incidentes. En segundo lugar, hay que incorporar el proceso de retirada de contratos en los flujos de seguridad estandarizados, dándole la misma importancia que a las auditorías de código. Solo realizando un mantenimiento completo del ciclo de vida se puede reducir eficazmente el alcance de los ataques.


Actualmente, la forma de abordar el problema es similar en toda la industria. Raydium utilizó la tesorería del proyecto para compensar las pérdidas de 1,34 millones de dólares; Transit Finance y Huma Finance también asumieron las pérdidas de los usuarios con los fondos del proyecto.


Esto también significa que la retirada de contratos ya no es solo un trabajo de anotación en la documentación, sino un eslabón esencial de control de seguridad.


Siete Estándares de Control de Seguridad para la Retirada de Contratos


Para el cierre de contratos antiguos, la industria puede establecer un proceso de control estandarizado. Los requisitos específicos y sus funciones son los siguientes:



Simplemente marcar en la documentación que "el contrato está fuera de servicio" solo transfiere el riesgo de seguridad a la tesorería del proyecto, mientras que el riesgo de ataque sigue existiendo. Anunciar la retirada solo a nivel de producto sin cerrarlo completamente a nivel técnico hace que el contrato antiguo permanezca en un estado invocable: el equipo del proyecto lo descuida, pero los hackers lo observan atentamente en todo momento.


El valor de los proyectos DeFi no solo se refleja en el volumen actual de activos bloqueados, sino que también se sedimenta en el código histórico y la arquitectura subyacente acumulados a lo largo del camino. Y esta historia olvidada se ha convertido ahora en una nueva brecha de seguridad.

Preguntas relacionadas

Q¿Cuál fue el principal factor que permitió el ataque a Raydium y cuánto se perdió?

AEl ataque a Raydium explotó un contrato antiguo (V3) que había sido dado de baja pero que seguía activo y accesible en la cadena de bloques. Este contrato obsoleto omitía dos controles de seguridad clave presentes en la versión nueva, permitiendo a los hackers crear tokens de liquidez falsificados. Las pérdidas ascendieron aproximadamente a 1.34 millones de dólares, incluyendo RAY, SOL y USDC.

Q¿Qué problema general en DeFi expone el incidente de Raydium?

AEl incidente expone un problema generalizado en el ecosistema DeFi: los contratos antiguos que han sido dados de baja o reemplazados por los proyectos, pero que no se desactivan completamente en la cadena de bloques. Estos 'contratos zombis' siguen siendo funcionales y accesibles, convirtiéndose en objetivos de ataque fáciles de pasar por alto, ya que a menudo quedan fuera del monitoreo y mantenimiento continuo.

QSegún el artículo, ¿cómo se clasifican típicamente los incidentes de seguridad en DeFi y por qué este caso es diferente?

ATípicamente, los incidentes de seguridad en DeFi se clasifican por su causa técnica raíz, como vulnerabilidades de código, fallos en el control de accesos, manipulación de oráculos o fugas de claves privadas. El caso de Raydium es diferente porque no se debe a un error de programación en sí, sino a una falla en la gestión del ciclo de vida del contrato: no se procedió a una desactivación técnica completa y segura del contrato obsoleto, una categoría de riesgo que a menudo no se trata por separado en las estadísticas.

Q¿Qué marco de análisis de cuatro capas se menciona en el artículo para entender los ataques de alta gravedad?

AEl artículo menciona un marco de análisis de cuatro capas derivado de un artículo de investigación de 2025. Este marco identifica que los ataques de alta gravedad suelen ser el resultado de una combinación de riesgos en múltiples niveles: 1) operaciones humanas y mantenimiento diario, 2) modelo económico, 3) ciclo de vida del contrato y 4) gobierno comunitario. El problema de los 'contratos zombis' se encuadra específicamente como una vulnerabilidad en la gestión del ciclo de vida.

Q¿Qué medidas sugiere el artículo para gestionar adecuadamente el retiro de contratos antiguos?

AEl artículo sugiere establecer un proceso de control estandarizado para la retirada de contratos antiguos. Esto incluye medidas como: la retirada completa de los activos de los fondos, la revocación de todos los permisos de acceso, la desactivación de funciones clave (como la capacidad de retirar o transferir), la actualización de la documentación, la notificación a la comunidad, el monitoreo continuo de la dirección del contrato y la publicación de un informe post-mortem. El objetivo es que la desactivación sea una parte integral de la seguridad, no solo una nota en la documentación.

Lecturas Relacionadas

94.000 millones de yuanes, la mayor financiación de este año para robots humanoides ha aparecido

La empresa de robótica humana Neura, con sede en Múnich, ha completado una ronda de financiación Serie C de 14.000 millones de dólares (unos 94.900 millones de RMB), lo que supone la mayor inversión del año en este sector. Tras la operación, su valoración alcanza los 70.000 millones de dólares. La relevancia de esta ronda radica en la participación de inversores industriales como Schaeffler y Bosch, lo que señala un cambio estratégico: el foco pasa de la demostración tecnológica a la implementación práctica en fábricas. Neura, fundada por el experto en robótica industrial Armin Zeher, ha priorizado desde el inicio la aplicabilidad en entornos de producción real, contando ya con BMW como cliente. Otros inversores como NVIDIA, Amazon y Qualcomm aportan perspectivas complementarias en infraestructura de computación, logística y tecnología. El sector de la robótica humana está experimentando una afluencia masiva de capital, impulsada por dos factores clave: los avances en modelos de IA de gran escala, que mejoran la percepción y la toma de decisiones de los robots, y la creciente presión por la escasez y el encarecimiento de la mano de obra en la manufactura global. Actualmente, las empresas siguen dos caminos principales: los robots humanoides de propósito general (como Figure AI), con un horizonte comercial a más largo plazo, y los enfocados en escenarios industriales verticales y específicos (como Neura), que ofrecen una ruta de comercialización más rápida y definida. El campo de batalla real para estos robots ya no es el laboratorio, sino el suelo de la fábrica. Los escenarios de manufactura industrial, por su entorno estructurado y tareas repetitivas, se consideran los primeros en permitir una adopción a escala. Los entornos de trabajo peligrosos también tienen un gran potencial. Sin embargo, los principales retos para la adopción masiva ya no son puramente técnicos, sino de ingeniería y modelo comercial. Destacan los elevados costes de adaptación a cada línea de producción específica y la necesidad de desarrollar sistemas de mantenimiento y servicio locales robustos para garantizar la operación continua. La entrada de gigantes industriales históricos como inversores y la presencia inicial de robots en fábricas como las de BMW marcan un punto de inflexión: la confianza del sector se consolida y la pregunta central evoluciona de "si es posible" a "cómo hacerlo mejor, más rápido y de forma más estable".

marsbitHace 2 hora(s)

94.000 millones de yuanes, la mayor financiación de este año para robots humanoides ha aparecido

marsbitHace 2 hora(s)

Coinbase y Ethena Lanzan una Bóveda de Alto Rendimiento de USDC Impulsada por Morpho

Coinbase ha ampliado su oferta de préstamos onchain con el lanzamiento de una Bóveda de Alto Rendimiento en USDC de Steakhouse Financial, conectada a Ethena y Morpho. Este producto, el primero fruto de la colaboración entre Ethena y Coinbase, permite a los usuarios depositar USDC. Los fondos se asignan automáticamente a través de los mercados de préstamo de Morpho, impulsados por activos como USDe. La clave es el perfil de riesgo: esta bóveda acepta una mezcla de colateral más amplia que incluye activos sintéticos respaldados por Ethena, lo que puede generar rendimientos más altos pero también introduce riesgos asociados al comportamiento del colateral y a la liquidez del mercado. Los APY son dinámicos y no están garantizados. El lanzamiento marca una tendencia en la que las infraestructuras DeFi, como Morpho y Ethena, se integran en productos simplificados dentro de grandes exchanges, acercando estas estrategias a usuarios convencionales. Sin embargo, esto hace que una divulgación clara de los riesgos sea aún más crucial, ya que el acceso a través de una plataforma familiar no elimina los riesgos inherentes a los protocolos DeFi subyacentes. La bóveda está disponible para usuarios elegibles en EE.UU. (excepto Nueva York) y algunos mercados internacionales.

bitcoinistHace 6 hora(s)

Coinbase y Ethena Lanzan una Bóveda de Alto Rendimiento de USDC Impulsada por Morpho

bitcoinistHace 6 hora(s)

El Mercado Pre-IPO de Anthropic Cae Después de una Directiva de EE.UU. que Obliga al Apagado de un Modelo

Anthropic recibió una directiva del gobierno estadounidense para suspender el acceso de nacionales extranjeros a sus modelos Claude Fable 5 y Claude Mythos 5 por motivos de seguridad nacional, lo que obligó a desactivarlos globalmente. Esto provocó una caída del 3.7% en su contrato perpetuo pre-IPO, cotizado en mercados cripto. La empresa cuestiona la evidencia, alegando que la vulnerabilidad reportada (un *jailbreak* específico) era menor y conocida, y advierte que este precedente regulatorio podría paralizar los nuevos despliegues de modelos de IA avanzada. El hecho destaca cómo la regulación de la IA se ha convertido en un evento negociable en mercados cripto, donde instrumentos vinculados a empresas pre-IPO permiten reaccionar instantáneamente a noticias, aunque a veces con información incompleta, aumentando la volatilidad.

bitcoinistHace 8 hora(s)

El Mercado Pre-IPO de Anthropic Cae Después de una Directiva de EE.UU. que Obliga al Apagado de un Modelo

bitcoinistHace 8 hora(s)

Billetera de Explotación Convierte Tokens Robados en 18,510 ETH y 1,548 BNB

Una cartera vinculada a un exploit ha convertido activos comprometidos en 18.510 ETH y 1.548 BNB, según una alerta de seguimiento on-chain de WuBlockchain citando a Lookonchain. El atacante obtuvo estas sumas vendiendo tokens "H" y aún retiene 111,36 millones de dichos tokens, valorados en unos 14 millones de dólares. Esta conversión es significativa porque los activos líquidos como ETH y BNB son destinos comunes para consolidar fondos robados antes de intentar lavarlos o retirarlos. El monto en ETH tenía un valor de aproximadamente 30,83 millones de dólares al momento del intercambio, y el de BNB rondaba los 924.000 dólares. Estos movimientos on-chain, aunque visibles, ofrecen pistas sobre los próximos pasos del atacante, como el uso de puentes o mezcladores, y son monitoreados por investigadores de seguridad. Sin embargo, las etiquetas de las carteras pueden cambiar y los fondos pueden dividirse rápidamente, por lo que estas cifras son una instantánea, no un cálculo final de pérdidas. El caso subraya la utilidad del seguimiento on-chain para observar la consolidación de fondos robados en tiempo real.

bitcoinistHace 10 hora(s)

Billetera de Explotación Convierte Tokens Robados en 18,510 ETH y 1,548 BNB

bitcoinistHace 10 hora(s)

"De 119 a 176 dólares": Tras la salida a bolsa de SpaceX, MSX vuelve a cerrar el círculo de la Pre-IPO

Tras el éxito de Cerebras en mayo con un rendimiento del 300%, MSX presenta su segundo "examen perfecto" con la salida a bolsa de SpaceX. El 12 de junio, SpaceX (SPCX) debutó en el Nasdaq en la mayor OPV de la historia, alcanzando un máximo de 176 dólares. Para MSX, esto marca el momento clave de su proyecto Pre-IPO de SpaceX lanzado en marzo, donde los usuarios pudieron participar a un precio de suscripción de 119 U. Al precio de cierre posterior de 166,85 dólares, esto representa un aumento de aproximadamente el 40%. Este evento valida nuevamente el modelo de producto Pre-IPO de MSX, demostrando un ciclo completo: desde la suscripción y tenencia de activos tokenizados, pasando por la opción de reembolso, hasta la cotización, la conversión a activos negociables en el mercado spot de MSX y la liquidación final. A diferencia de ofertas que solo brindan acceso, MSX garantiza una ruta clara de salida y conversión tras la OPV, un desafío clave en este sector. Tras los casos de éxito consecutivos de Cerebras y SpaceX, MSX continúa expandiendo su cartera de activos Pre-IPO, centrándose en sectores como la IA y la tecnología punta, con el objetivo de ofrecer a los usuarios de Web3 un acceso fiable a empresas globales de alto crecimiento antes de su salida a bolsa.

Odaily星球日报Hace 15 hora(s)

"De 119 a 176 dólares": Tras la salida a bolsa de SpaceX, MSX vuelve a cerrar el círculo de la Pre-IPO

Odaily星球日报Hace 15 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow