La Revelación del Robo en Raydium: Un Nuevo Riesgo en DeFi, Oculto en Contratos Antiguos y Olvidados

Foresight NewsPublicado a 2026-06-13Actualizado a 2026-06-13

Resumen

El incidente de Raydium, donde se perdieron aproximadamente 1,34 millones de dólares debido a la explotación de antiguos pools de liquidez del market maker automatizado V3, ha revelado una vulnerabilidad crítica en DeFi: los contratos inteligentes obsoletos y olvidados, que permanecen activos en la cadena de bloques, se están convirtiendo en objetivos de ataque. Este caso no es aislado. Desde marzo de 2025, se han registrado al menos 8 incidentes similares, con pérdidas totales de unos 22,5 millones de dólares, vinculados a contratos antiguos o infraestructura descuidada. El problema fundamental no es un error de código, sino un fallo en la gestión del ciclo de vida de los contratos: los proyectos no los desactivan completamente tras su retirada. Estos "contratos zombis", aunque no son utilizados por los usuarios principales, conservan activos y permisos de llamada. Al estar fuera del foco de mantenimiento, son objetivos fáciles. El ataque a Raydium explotó precisamente la falta de mecanismos de verificación en su viejo contrato V3. La solución requiere reconocer este riesgo como una categoría independiente y establecer un proceso estandarizado de desactivación segura. Esto debe incluir: eliminar permisos de administrador, retirar todos los activos, deshabilitar funciones clave, actualizar la documentación, realizar auditorías post-cierre, monitorear continuamente y notificar claramente a la comunidad. La seguridad de DeFi depende tanto de gestionar el presente como de cer...


Escrito por: Gino Matos

Compilado por: Luffy, Foresight News


TL;DR:


  • Un hacker explotó un grupo de liquidez V3 del creador de mercado automático de Raydium, que había estado fuera de servicio durante mucho tiempo, robando activos por valor de aproximadamente 1,34 millones de dólares.
  • Este incidente expone un problema general: los contratos antiguos que los proyectos DeFi han dado de baja siguen funcionando en la cadena. Esta infraestructura olvidada se ha convertido en un objetivo de ataque fácil de pasar por alto.
  • Informes públicos muestran que desde marzo de 2025, ha habido al menos 8 incidentes similares de robo en contratos antiguos y obsoletos en la industria, lo que significa que aún existe una gran cantidad de código antiguo sin mantenimiento que puede ser invocado externamente.


Recientemente, una vulnerabilidad en el creador de mercado automático (AMM) V3 de Raydium resultó en una pérdida de 1,34 millones de dólares. Este incidente estuvo relacionado con cinco grupos de liquidez fuera del sistema de productos actual del proyecto, que no son compatibles con la interfaz de usuario (UI) o el SDK de Raydium y a los que los usuarios normales no pueden acceder, pero que finalmente fueron explotados por un hacker.


Este ataque apuntó a contratos e infraestructura antigua y descuidada en la industria, revelando una importante brecha en la gestión del ciclo de vida completo de los contratos inteligentes. Este tipo de problema no es exclusivo de este intercambio descentralizado del ecosistema Solana.


Una Categoría de Riesgo Pasada por Alto


Según estadísticas de informes públicos de incidentes de seguridad, desde marzo de 2025 hasta ahora, ha habido al menos 8 casos confirmados de ataques dirigidos a contratos obsoletos, retirados o antiguos, con pérdidas acumuladas de aproximadamente 10,8 millones de dólares.


Si se incluyen en las estadísticas los incidentes de seguridad causados por grupos de liquidez antiguos y productos complementarios de versiones anteriores, la cantidad de incidentes relacionados alcanza los 10 (incluyendo este robo de Raydium), con un total de pérdidas de aproximadamente 22,5 millones de dólares.


La mayoría de las plataformas de seguimiento de incidentes de seguridad en la industria clasifican los tipos de ataque según su causa técnica. Las clasificaciones comunes incluyen: vulnerabilidades en el código de los contratos inteligentes, fallos en el control de permisos, manipulación de oráculos, filtraciones de claves privadas, defectos en puentes cruzados, etc.


Los contratos zombis (es decir, contratos antiguos que los proyectos anuncian como fuera de servicio pero que aún se pueden invocar normalmente en la cadena) pertenecen a una dimensión de riesgo completamente diferente. Son incidentes de seguridad causados por problemas en la gestión del ciclo de vida del contrato, pero siempre han quedado enterrados en las estadísticas de varias vulnerabilidades convencionales y no se han clasificado por separado.



La razón por la que se abandonaron los grupos de liquidez del creador de mercado automático V3 de Raydium fue el cierre oficial del proyecto Serum del que dependían, lo que dejó a estos contratos antiguos completamente sin su funcionalidad original y los activos de liquidez correspondientes inactivos en la cadena.


Los nuevos contratos que Raydium utiliza actualmente verifican dos veces información clave: primero, verifican la proporción de activos a través de un mecanismo de verificación de suministro total; segundo, verifican la dirección de acuñación de los tokens de liquidez y la información de varias cuentas relacionadas.


Pero este conjunto antiguo de contratos V3 omite por completo estos dos procesos de verificación. El hacker explotó esta vulnerabilidad para falsificar nuevos tokens de liquidez haciéndolos pasar por certificados legítimos, evadiendo así todas las reglas de control de riesgos.


En este incidente, se robaron aproximadamente 150,177 RAY, 5,603 SOL y 893,700 USDC. Estos activos habían estado depositados durante mucho tiempo en los antiguos grupos de liquidez de la plataforma. Aunque estaban fuera del negocio principal, los permisos de invocación en cadena nunca se cerraron.


Ocho Casos Expusieron Problemas Comunes


Desde 2025, varios proyectos DeFi conocidos han tenido problemas con contratos antiguos. Todos los incidentes presentan las mismas características: los equipos de los proyectos declaran que las versiones actuales de sus productos y los usuarios activos no se ven afectados, pero debido a que los contratos antiguos no se cerraron por completo, las pérdidas totales finalmente fueron cubiertas por las tesorerías de los proyectos.



Por Qué Se Pasa por Alto el Riesgo de los Contratos Antiguos


En la actualidad, la gran mayoría de los sistemas de clasificación de incidentes de seguridad en la industria se centran en los métodos de ataque, los objetos manipulados y los puntos de falla del código, lo que representa una perspectiva de análisis "desde la vulnerabilidad técnica". Esto también provoca que los incidentes de contratos zombis queden enmascarados. El núcleo de este tipo de problemas nunca ha sido un error en la escritura del código, sino que los proyectos deberían haber cerrado completamente los contratos antiguos y no lo hicieron.


Un documento de investigación de la industria de 2025 analizó 50 grandes incidentes de seguridad criptográficos a nivel mundial entre 2022 y 2025, con pérdidas acumuladas superiores a los 1.000 millones de dólares. El estudio señaló que los ataques en cadena de alto daño suelen ser el resultado de la superposición de riesgos en cadena, involucrando simultáneamente múltiples niveles como las operaciones manuales, el mantenimiento diario, los modelos económicos, el ciclo de vida de los contratos, la gobernanza comunitaria, etc.


El documento propone un marco de análisis de causas raíz de cuatro niveles, clasificando claramente las vulnerabilidades en la gestión del ciclo de vida del contrato y las vulnerabilidades en la gobernanza comunitaria como categorías de riesgo independientes de las vulnerabilidades en la escritura del código. Y el problema de los contratos zombis es precisamente una vulnerabilidad típica de la gestión del ciclo de vida. Pero en los sistemas de estadísticas de seguridad existentes, este tipo de incidentes se clasifican invariablemente como "vulnerabilidades de código", y sus datos de pérdidas correspondientes también se ocultan bajo otras clasificaciones, sin haber llamado la suficiente atención de la industria.


Alerta con el "Cementerio de Contratos": La Infraestructura Antigua se Ha Convertido en un Nuevo Punto de Ataque


Si los proyectos DeFi siguen considerando el "cierre de contratos" como algo insignificante y opcional, limitándose a marcar en la documentación del producto que "este contrato está fuera de servicio" sin transferir los activos inactivos, cerrar las funciones de invocación y monitorear continuamente su estado, los hackers seguirán apuntando a este "cementerio de contratos".


Cada registro histórico de despliegue de un gran proyecto DeFi se ha convertido ahora en un objetivo de ataque que los hackers pueden buscar y explotar. Las pérdidas de 22,5 millones de dólares actualmente estadísticas son solo el valor de los casos expuestos públicamente; el riesgo real es mucho mayor.


Los antiguos grupos de liquidez, las interfaces de autorización históricas y los módulos de integración de cooperación temprana que contienen activos pero están desconectados del flujo de uso principal de los usuarios, reciben mucho menos monitoreo y mantenimiento que los sistemas comerciales activos, convirtiéndose precisamente en el objetivo preferido de los hackers.


Para cambiar esta situación, primero hay que clasificar los "contratos zombis" como una categoría de riesgo independiente y realizar estadísticas separadas de incidentes. En segundo lugar, hay que incorporar el proceso de retirada de contratos en los flujos de seguridad estandarizados, dándole la misma importancia que a las auditorías de código. Solo realizando un mantenimiento completo del ciclo de vida se puede reducir eficazmente el alcance de los ataques.


Actualmente, la forma de abordar el problema es similar en toda la industria. Raydium utilizó la tesorería del proyecto para compensar las pérdidas de 1,34 millones de dólares; Transit Finance y Huma Finance también asumieron las pérdidas de los usuarios con los fondos del proyecto.


Esto también significa que la retirada de contratos ya no es solo un trabajo de anotación en la documentación, sino un eslabón esencial de control de seguridad.


Siete Estándares de Control de Seguridad para la Retirada de Contratos


Para el cierre de contratos antiguos, la industria puede establecer un proceso de control estandarizado. Los requisitos específicos y sus funciones son los siguientes:



Simplemente marcar en la documentación que "el contrato está fuera de servicio" solo transfiere el riesgo de seguridad a la tesorería del proyecto, mientras que el riesgo de ataque sigue existiendo. Anunciar la retirada solo a nivel de producto sin cerrarlo completamente a nivel técnico hace que el contrato antiguo permanezca en un estado invocable: el equipo del proyecto lo descuida, pero los hackers lo observan atentamente en todo momento.


El valor de los proyectos DeFi no solo se refleja en el volumen actual de activos bloqueados, sino que también se sedimenta en el código histórico y la arquitectura subyacente acumulados a lo largo del camino. Y esta historia olvidada se ha convertido ahora en una nueva brecha de seguridad.

Preguntas relacionadas

Q¿Cuál fue el principal factor que permitió el ataque a Raydium y cuánto se perdió?

AEl ataque a Raydium explotó un contrato antiguo (V3) que había sido dado de baja pero que seguía activo y accesible en la cadena de bloques. Este contrato obsoleto omitía dos controles de seguridad clave presentes en la versión nueva, permitiendo a los hackers crear tokens de liquidez falsificados. Las pérdidas ascendieron aproximadamente a 1.34 millones de dólares, incluyendo RAY, SOL y USDC.

Q¿Qué problema general en DeFi expone el incidente de Raydium?

AEl incidente expone un problema generalizado en el ecosistema DeFi: los contratos antiguos que han sido dados de baja o reemplazados por los proyectos, pero que no se desactivan completamente en la cadena de bloques. Estos 'contratos zombis' siguen siendo funcionales y accesibles, convirtiéndose en objetivos de ataque fáciles de pasar por alto, ya que a menudo quedan fuera del monitoreo y mantenimiento continuo.

QSegún el artículo, ¿cómo se clasifican típicamente los incidentes de seguridad en DeFi y por qué este caso es diferente?

ATípicamente, los incidentes de seguridad en DeFi se clasifican por su causa técnica raíz, como vulnerabilidades de código, fallos en el control de accesos, manipulación de oráculos o fugas de claves privadas. El caso de Raydium es diferente porque no se debe a un error de programación en sí, sino a una falla en la gestión del ciclo de vida del contrato: no se procedió a una desactivación técnica completa y segura del contrato obsoleto, una categoría de riesgo que a menudo no se trata por separado en las estadísticas.

Q¿Qué marco de análisis de cuatro capas se menciona en el artículo para entender los ataques de alta gravedad?

AEl artículo menciona un marco de análisis de cuatro capas derivado de un artículo de investigación de 2025. Este marco identifica que los ataques de alta gravedad suelen ser el resultado de una combinación de riesgos en múltiples niveles: 1) operaciones humanas y mantenimiento diario, 2) modelo económico, 3) ciclo de vida del contrato y 4) gobierno comunitario. El problema de los 'contratos zombis' se encuadra específicamente como una vulnerabilidad en la gestión del ciclo de vida.

Q¿Qué medidas sugiere el artículo para gestionar adecuadamente el retiro de contratos antiguos?

AEl artículo sugiere establecer un proceso de control estandarizado para la retirada de contratos antiguos. Esto incluye medidas como: la retirada completa de los activos de los fondos, la revocación de todos los permisos de acceso, la desactivación de funciones clave (como la capacidad de retirar o transferir), la actualización de la documentación, la notificación a la comunidad, el monitoreo continuo de la dirección del contrato y la publicación de un informe post-mortem. El objetivo es que la desactivación sea una parte integral de la seguridad, no solo una nota en la documentación.

Lecturas Relacionadas

Reestructuración épica de EF: ¿Despidos del 20% y recorte del 50% del presupuesto? ¿Ethereum se prepara para una marcha más ligera?

La Fundación Ethereum (EF) anunció una reestructuración organizativa importante, incluyendo una reducción del 20% de su personal (unas 54 personas) y un plan para recortar su presupuesto en aproximadamente un 40% en los próximos años. El objetivo es reducir la tasa de gasto anual del 15% actual a alrededor del 5% después de 2030, adoptando un modelo de operación impulsado por donaciones. La reorganización divide la EF en varios grupos funcionales: capa de protocolo, capa de acceso, capa de usuario, capa de comunidad y capa institucional. Según Vitalik Buterin, esto implica pérdidas reales, como la finalización de algunos proyectos (por ejemplo, el equipo PSE) y el cambio de escala de eventos como Devcon, en un esfuerzo por redefinir y enfocar el rol de la fundación. Esta reforma se considera una respuesta a las críticas persistentes sobre la falta de claridad estratégica, la ejecución y la presión sobre el precio de ETH. La EF busca retirarse de intentar ser un centro ecológico integral y, en cambio, concentrarse en la investigación del protocolo, el apoyo a bienes públicos y la coordinación del ecosistema. Paralelamente, actores del ecosistema como Ethlabs (fundado por exinvestigadores de la EF), Argot Collective y empresas como BitMine están tomando un papel más prominente en el desarrollo, indicando una descentralización del poder y la iniciativa dentro de Ethereum. Hasta el cofundador de Solana, toly, reconoció positivamente los cambios, sugiriendo que una EF más ágil y enfocada podría ser más decisiva.

Odaily星球日报Hace 22 min(s)

Reestructuración épica de EF: ¿Despidos del 20% y recorte del 50% del presupuesto? ¿Ethereum se prepara para una marcha más ligera?

Odaily星球日报Hace 22 min(s)

Haseeb de Dragonfly: Las empresas de mayor crecimiento del futuro podrían estancarse en 149 personas

El socio de Dragonfly, Haseeb, analiza cómo las estrategias de precios de empresas de IA como Anthropic actúan como una política fiscal no oficial que distorsiona el mercado laboral. Según un análisis de SemiAnalysis, las suscripciones planas (p.ej., para equipos de menos de 150 usuarios) ofrecen tokens de IA con un coste marginal de casi cero, subsidiando fuertemente a startups y pequeños equipos. En cambio, las grandes empresas (más de 150 usuarios) pagan un modelo "Enterprise" con un margen estimado del 75% sobre el coste por token, lo que equivale a un impuesto elevado sobre la mano de obra de IA. Esta diferencia crea incentivos opuestos: las startups se ven impulsadas a maximizar el uso de IA ("tokenmaxxing") para automatizar agresivamente, ya que la exploración es esencialmente gratuita hasta el límite de suscripción. Las grandes empresas, sin embargo, desincentivan la automatización marginal y experimental debido al alto coste incremental, lo que puede llevarles a retener más empleados humanos. Haseeb argumenta que esto podría no resultar en despidos masivos directos por IA en grandes corporaciones, sino en una pérdida de cuota de mercado frente a startups ágiles y nativas de IA, que operan con costes laborales humanos mucho más bajos. La consecuencia más llamativa es la creación de un "acantilado regulatorio" en 150 empleados, similar a las distorsiones por normativas laborales en países como Francia. Las empresas de alto crecimiento podrían tener un fuerte incentivo para mantenerse por debajo de ese umbral (149 empleados) para conservar los subsidios en tokens, dando forma a una nueva filosofía de gestión "IA-first" centrada en la automatización extrema y equipos mínimos.

marsbitHace 30 min(s)

Haseeb de Dragonfly: Las empresas de mayor crecimiento del futuro podrían estancarse en 149 personas

marsbitHace 30 min(s)

xBubble: Cómo abordar la economía OPC en la que los capitalistas de riesgo están invirtiendo fuertemente

La economía OPC (One Person Company) se está consolidando como un nuevo mercado clave en la industria de la IA. Figuras como Sam Altman y Dario Amodei predicen la aparición de empresas unipersonales valoradas en miles de millones. La inversión en empresas como Replit y Lovable valida una demanda real: permitir que personas no técnicas construyan aplicaciones y transformen ideas en negocios. Sin embargo, existe una brecha. Las herramientas actuales de AI coding facilitan crear prototipos, pero exigen a los usuarios gestionar el desarrollo, la implementación y las modificaciones continuas, algo complejo para las OPC sin conocimientos técnicos. Aquí es donde xBubble, de DAPPOS, presenta un enfoque distinto: pasar de "Prompt-to-Code" a "SOP-to-Business". En lugar de generar solo código, su sistema SOP (Procedimiento Operativo Estándar) traduce los objetivos comerciales del usuario en flujos de trabajo y software ejecutable, manejando la creación, integraciones como pagos y la lógica de backend. xBubble se complementa con una red de proveedores de servicios externos que gestionan la infraestructura (dominios, servidores, despliegue), simplificando el proceso para el usuario final, quien puede pagar estos servicios con créditos integrados en la plataforma. Su ventaja competitiva radica en dirigirse a un segmento claro de OPC: pequeños negocios con productos, clientes y conocimiento de mercado, pero sin recursos para un equipo técnico. Al encapsular el conocimiento en SOPs reutilizables y maduros, y ofrecer soporte para pagos con criptomonedas, xBubble busca reducir los costos y la complejidad para lanzar y operar un negocio en línea de manera sostenida. En resumen, mientras el mercado valida la tendencia de creación de software por no técnicos, xBubble apunta a cerrar la brecha entre crear una demo y operar un negocio real, posicionándose como un sistema de puesta en marcha para la economía OPC.

链捕手Hace 31 min(s)

xBubble: Cómo abordar la economía OPC en la que los capitalistas de riesgo están invirtiendo fuertemente

链捕手Hace 31 min(s)

Haseeb de Dragonfly: Por qué las empresas de más rápido crecimiento en el futuro podrían estancarse en 149 empleados

El socio de Dragonfly, Haseeb, analiza un fenómeno peculiar en la economía de suscripción de IA: las empresas emergentes y los usuarios individuales disfrutan de suscripciones planas muy generosas para modelos como Claude Code, donde el costo marginal por token es efectivamente cero hasta alcanzar un límite alto, similar a un gimnasio. Esto actúa como un subsidio a la innovación. Sin embargo, al superar los 150 empleados ("asientos"), las empresas se ven obligadas a cambiar a un plan "Enterprise" mucho más caro, que factura por token con un margen estimado del 75%. Este salto de precios crea un "acantilado regulatorio" en 150 personas, comparable a las leyes laborales francesas que desalientan superar los 50 empleados. Haseeb argumenta que esta estructura actúa como una política fiscal implícita: grava la mano de obra de IA para las grandes empresas (75%) mientras la subsidia para las startups (0%). Las grandes empresas se ven desincentivadas de automatizar tareas marginales o experimentales debido al alto costo, mientras que las startups tienen un incentivo masivo para maximizar el uso ("tokenmaxxing") y ser hiper-eficientes. En consecuencia, la sustitución de mano de obra humana por IA podría no ocurrir principalmente mediante despidos masivos dentro de las grandes corporaciones, sino a través de startups nativas de IA, más ágiles y con menores costos, que ganen cuota de mercado. El artículo sugiere que las empresas de más rápido crecimiento podrían distorsionar deliberadamente su tamaño para permanecer por debajo del umbral de 150 empleados, adoptando una filosofía de gestión "AI-first" extremadamente ajustada. Esta política de precios, no votada por nadie, podría convertirse en una de las fuerzas fiscales más influyentes en la configuración del futuro del trabajo.

链捕手Hace 39 min(s)

Haseeb de Dragonfly: Por qué las empresas de más rápido crecimiento en el futuro podrían estancarse en 149 empleados

链捕手Hace 39 min(s)

Mejor no invertir cuando hay dudas: Un repaso de nueve años tras cuatro ciclos como capitalista de riesgo

Tras nueve años invirtiendo, hemos identificado patrones clave que llevan al fracaso en emprendedores web3. Este análisis se basa en observar cientos de proyectos a lo largo de cuatro ciclos de mercado. **Perfiles de fundadores que fallan:** 1. **Inestables emocionalmente:** Reaccionan defensivamente ante críticas o presión, dedicándose a conflictos en lugar de resolver problemas. 2. **Sin hambre real / con red de seguridad:** Tienen una vía de escape (riqueza familiar, empleo seguro), lo que reduce su compromiso total en los momentos más difíciles. 3. **Ego descontrolado:** Incluye a los "máquinas de ejecución" que solo optimizan lo conocido y a los "profesores" con profundidad técnica pero poca adaptabilidad comercial o capacidad de aprendizaje. 4. **Token primero, no producto primero:** Tratan el token principalmente como herramienta de financiación, no como columna vertebral del producto. Si el token vale cero, el proyecto no tiene valor. 5. **Sin tesis de salida desde el inicio (Day 1):** No pueden articular una estrategia clara sobre cómo los inversores obtendrán retornos, lo que lleva a narrativas de financiación inconsistentes. 6. **Sin experiencia en un ciclo completo:** Subestiman la presión de un mercado bajista. Para estos, limitamos la inversión inicial a $250k hasta ver evidencia de resiliencia. **El fundador ideal posee lo contrario:** * **Obsesión por el problema:** Vive y respira el desafío que quiere resolver. * **Segundo emprendedor + visión no consensuada:** Ha aprendido de fracasos previos y piensa de forma independiente. * **Buen comunicador + ego controlado:** Sabe explicar su visión y es coachable, pero con la ambición necesaria para perseverar. * **Resiliencia y mentalidad bayesiana:** No huye de los desafíos y actualiza sus creencias con nueva evidencia. * **Perspectiva global, Agencia y Buen Gusto (Taste) en la era de la IA:** Opera globalmente desde el inicio, tiene capacidad de iniciativa y buen criterio, cualidades que la IA no puede reemplazar. **Tres consejos cruciales para emprendedores:** 1. **El flujo de caja es más importante que la narrativa.** 2. **Lanzar un token es una responsabilidad costosa** (millones en mantenimiento de liquidez, cumplimiento, etc.). No lo hagas pronto o sin necesidad. 3. **Respeta la liquidez:** Vende cuando las condiciones son óptimas y apoya tu protocolo comprando cuando el precio es bajo. Nuestra filosofía de inversión, influenciada por principios de Zhang Yiming, valora la empatía como base, la lógica como herramienta y la imaginación para ver lo que aún no existe. La regla final es simple: si hay dudas ("puede invertirse o no"), **no se invierte**. La disciplina para rechazar oportunidades promedio es el secreto para sobrevivir a los ciclos.

Foresight NewsHace 57 min(s)

Mejor no invertir cuando hay dudas: Un repaso de nueve años tras cuatro ciclos como capitalista de riesgo

Foresight NewsHace 57 min(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow