-
El atacante intercambió el botín por 810 ETH antes de dispersarlo.
-
Se usaron deBridge, Tornado Cash y FixedFloat para ocultar el rastro.
El exchange descentralizado, Raydium, sufrió un exploit de aproximadamente USD 1,3 millones en cinco pools de liquidez heredados en la red Solana, incidente que fue reportado el 10 de junio de 2026. El exploit se originó en una vulnerabilidad presente en versiones antiguas del AMM V3 de Raydium, un sistema que dejó de estar activo desde 2021.
El atacante creó un token LP falso y lo utilizó para explotar una falla en la validación de los contratos inteligentes, que verificaban el suministro del token pero no la dirección de emisión asociada. Esa diferencia permitió que el atacante quemara el token falso y retirara el 100% de las reservas almacenadas en cinco pools inactivos del protocolo.
Los pools afectados fueron creados durante la etapa de integración con Serum y posteriormente descontinuados en Solana. Entre ellos se encontraban los pares Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY y RAY-SOL. En conjunto, el atacante logró sustraer aproximadamente 150.177 RAY, 5.603 SOL y 893.700 USDC.
Según los datos del análisis del incidente, la wallet del atacante fue inicialmente financiada a través del exchange KuCoin. Posteriormente, los fondos fueron trasladados a la red Ethereum a través del protocolo deBridge, donde el atacante convirtió aproximadamente 810 ETH antes de dispersarlos mediante servicios de mezcla como Tornado Cash y FixedFloat para dificultar su seguimiento.
Raydium confirmó el incidente a través de su equipo técnico y destacó que ningún usuario activo se vio afectado. La razón es que los pools comprometidos no eran accesibles desde su interfaz, SDK ni DApp desde hace años, ya que habían sido retirados de la operación tras migraciones internas del protocolo. En respuesta, el equipo anunció que reembolsará el 100% de las pérdidas con fondos de su tesorería y que habilitará un sistema de reclamaciones mediante una hoja de cálculo pública, mientras revisa otros programas antiguos para confirmar que la vulnerabilidad no se extiende a versiones activas.
El incidente reabre el debate sobre la persistencia del llamado “código zombie” en DeFi, es decir, contratos inteligentes que quedan abandonados pero siguen siendo ejecutables en redes de criptomonedas. Aunque no forman parte de la operación actual de los protocolos, pueden conservar valor bloqueado o lógica vulnerable que permanece expuesta indefinidamente.
Asimismo, más allá del impacto puntual, el caso se inserta en una tendencia más amplia dentro del ecosistema. Solo en abril de 2026 se registraron más de 34 hackeos en protocolos de finanzas descentralizadas, con pérdidas que alcanzaron aproximadamente USD 635 millones, concentrando el 78% del total robado en lo que va del año, tal como reportó KriptoNoticias. En ese mismo periodo, incidentes como Drift Protocol o Kelp DAO mostraron que los vectores de ataque van desde fallos de gobernanza hasta compromisos de infraestructura crítica, ampliando la superficie de riesgo en todo el sector.
En este contexto, el exploit de Raydium no destaca por su magnitud, sino por su naturaleza: no afectó sistemas activos del protocolo, sino componentes que seguían siendo ejecutables en la cadena pese a haber quedado fuera de uso. Este tipo de incidentes refuerza una dinámica cada vez más visible en DeFi, donde el riesgo no se limita a la infraestructura en operación, sino que también puede emerger de contratos que permanecen accesibles aunque ya no formen parte del funcionamiento cotidiano del protocolo.
