Solo un día después de que el mercado de criptomonedas ofreciera cierta calma, el protocolo Raydium en Solana sufrió un exploit que drenó 1,3 millones de dólares de cinco pools de liquidez. La buena noticia: los fondos activos de los usuarios no se han visto afectados y el tesoro del proyecto cubrirá las pérdidas de forma íntegra, según confirmó su equipo.
Un ataque silencioso a código olvidado
El incidente, detectado por la firma de seguridad PeckShield y el investigador on-chain Specter, se centró en un programa retirado del protocolo que data de la primera versión del automated market maker (AMM) de Raydium. Dicho de manera sencilla, el atacante explotó una falla de validación en el código AMM obsoleto, que no se había vuelto a usar desde 2021 y que llevaba tiempo fuera del alcance de los usuarios a través de la interfaz oficial.
Según el análisis de Specter, el exploitador creó una dirección de mint falsa –un identificador que imita el del token real– y consiguió retirar liquidez de las piscinas heredadas sin activar ninguna alarma. Los activos robados ascendieron a 150.177 tokens RAY, 5.603 SOL y 893.700 USDC, lo que suma en total alrededor de 1,3 millones de dólares al cambio del momento.
El movimiento posterior del atacante demuestra cómo se intenta romper el rastro en la cadena: inicialmente financiado desde KuCoin, puenteó los fondos de Solana a Ethereum y depositó 810 ETH en el mezclador Tornado Cash, además de otros 7 ETH en el exchange FixedFloat. Cabe recordar que Tornado Cash fue eliminado de la lista de sanciones del Departamento del Tesoro estadounidense en marzo de 2025, lo que ha vuelto a facilitar su uso por parte de atacantes para lavar criptoactivos.
Pérdidas asumidas por el tesoro, mercado imperturbable
Desde el equipo de Infra –la entidad que opera Raydium– confirmaron a través de su cuenta oficial que el exploit solo involucra a pools heredados del AMM V3 que fue retirado en 2021, por lo que ningún usuario actual ha resultado perjudicado. Como medida inmediata, el tesoro del protocolo cubrirá el 100% de las pérdidas sin necesidad de recurrir a una votación de gobernanza adicional.
El mercado reaccionó con relativa calma. El token RAY apenas cayó menos de un 1% en las 24 horas posteriores, cotizando cerca de 0,57 dólares, mientras que SOL se deslizó un 2% hasta rondar los 63,88 dólares (unos 58 euros). La comparación con el incidente de diciembre de 2022, cuando una clave de administrador fue comprometida y vació pools activos, es reveladora: entonces el protocolo tuvo que aprobar por gobernanza la recompra de tokens y el desbloqueo de fondos del equipo para compensar a los proveedores de liquidez. Ahora, el daño se circunscribe a código que ya no formaba parte del producto vivo.
El exploit de Raydium demuestra que en DeFi el código retirado no es código olvidado: es una puerta abierta si no se retira con candado.
Lecciones para el ecosistema Solana
Este episodio vuelve a poner sobre la mesa una verdad incómoda para el DeFi en general, y para Solana en particular: el código legacy puede convertirse en un vector de ataque años después de su jubilación. Aunque Raydium había desactivado las interfaces para que los usuarios no pudieran interactuar con esos pools, los contratos inteligentes seguían desplegados en la cadena. Y allí, quietos pero accesibles para quien supiera cómo invocarlos, esperaban a que alguien encontrase la grieta.
La reacción del protocolo, sin embargo, envía señales de madurez. La cobertura desde el tesoro, sin necesidad de reestructurar tokens ni penalizar a los usuarios activos, refuerza la confianza en un equipo que ya supo recomponerse tras el golpe mucho más grave de 2022. Además, el incidente no ha provocado contagio en otros protocolos del ecosistema, lo que sugiere que la arquitectura de Solana –con su modelo de cuentas y la separación entre programas– limita la propagación de este tipo de fallos.
Para el inversor minorista que tiene fondos en Raydium o sigue de cerca el ecosistema, la lectura práctica es doble. Primero, que los exploits seguirán ocurriendo mientras exista código abierto y recompensas económicas para quien lo rompa; y segundo, que la diferencia entre un protocolo robusto y uno frágil se mide en la calidad de su respuesta post-incidente, no solo en la ausencia de fallos. En este caso, Raydium parece haber aprobado el examen de madurez ante una amenaza que, de no haberse gestionado con rapidez y transparencia, podría haber minado la confianza de sus usuarios más antiguos.
De cara al futuro, la lección más importante que deja este exploit es técnica y casi administrativa: retirar un programa de la interfaz de usuario no es lo mismo que desactivarlo en la cadena. Mientras los validadores de Solana sigan teniendo el código disponible, cualquier actor podrá invocarlo directamente. Y eso, en un entorno donde Tornado Cash vuelve a ser accesible para ocultar fondos, es un riesgo que los equipos de desarrollo no pueden permitirse ignorar.
