10 de junio de 2026

Obsoleto no significa seguro.

Olvidado no significa muerto.

Y en la blockchain, nada está realmente enterrado.

Dana Yang Hilang:

Dirección del atacante:

4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk

$RAY

Pool Que No Está En Los Mapas

Imagina una caja fuerte antigua en el piso bajo del edificio del banco.

El banco se mudó a un nuevo edificio desde 2021. El nuevo vestíbulo es más moderno, el sistema está auditado, el personal está capacitado. Pero la llave de la antigua caja fuerte, de alguna manera... nunca fue retirada. Y dentro de esa caja fuerte, todavía hay dinero.

Eso es lo que le pasó a Raydium.

Cinco pools de liquidez en el programa AMM V3 Legacy se dejaron vivir en la red Solana durante casi cinco años después de que el protocolo oficial declarara que estaban deprecated. No visibles en la UI. No accesibles a través del SDK oficial. No tocados por usuarios activos desde el verano de 2021.

Pero el contrato sigue en funcionamiento.

Y dentro de ese contrato, los activos reales aún están sentados tranquilos, esperando a que alguien lo suficientemente astuto los encuentre.

¿Qué pasó?

Para entender por qué estos pools existen, necesitamos volver al pasado del ecosistema Solana.

Raydium construyó su AMM V3 sobre la base de Serum, el libro de órdenes on-chain que en ese momento era el corazón de DeFi Solana. Los cinco pools que eventualmente se convirtieron en víctimas son pares de activos que provienen de esa era: Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY y RAY-SOL.

Serum luego colapsó. Raydium migró. Las versiones V4 y V5 nacieron con mecanismos de suministro virtual y verificación de cuentas más estrictos.

El código antiguo debería haber sido enterrado junto a Serum.

Pero no lo hicieron.

La razón no es solo por descuido, hay barreras técnicas reales. Los smart contracts en la blockchain son inmutables. Una vez que un programa se despliega, no hay botón de ELIMINAR que se pueda presionar. Lo que el equipo puede hacer es migrar liquidez activamente y desactivar el programa ID.

Parece que ese último paso (la desactivación formal) fue pasado por alto. O pospuesto. O asumido como innecesario, porque "¿quién va a encontrar estos pools invisibles?"

Pero al final, alguien lo encontró.

Precedente que debería ser una lección

Raydium no es un nombre nuevo en la lista de víctimas en DeFi.

Diciembre de 2022. El equipo de Raydium se despertó con malas noticias: alrededor de $4.4 millones desaparecieron de un golpe. No fue por un bug de código. No fue por una validación débil. Fue puramente porque se robó la clave privada. Alguien obtuvo acceso a la clave admin, y eso fue suficiente para drenar pools activos.

El incidente fue doloroso pero limpio narrativamente, enemigo claro, vector de ataque claro, solución clara. El equipo está reforzando la seguridad operativa, migrando a contratos nuevos que ya han sido auditados, y avanzando.

Lo que no hicieron fue mirar hacia atrás.

Los contratos antiguos abandonados siguen latiendo lentamente en la blockchain. Sin dueño. Sin vigilancia. Llenos de liquidez zombie que nunca podrá ser retirada a través de la interfaz oficial, pero que aún puede ser tocada por cualquiera que quiera hablar directamente con su contrato.

Han pasado tres años y medio. Nadie ha molestado. No hay alarmas.

Hasta el 10 de junio de 2026.

Anatomía del robo

Los hackers nunca anunciarán al público que van a hackear. Todo sucede en silencio, en calma. Cuando todos se dan cuenta, ya se han ido.

Encontrando el agujero

La debilidad está en la forma en que el AMM V3 legado valida los tokens LP (Liquidity Provider).

La lógica es simple pero fatal: el programa antiguo confiaba en el suministro de tokens LP para determinar la proporción de retiros. Si posees X% del suministro total de LP, tienes derecho a retirar X% de la liquidez del pool.

El problema es: este programa no verifica la dirección de mint de esos tokens LP.

No verificó si los tokens LP que presentabas realmente provenían de un pool legítimo. Solo miró el número de suministro.

No es un agujero sutil. Es una suposición fundamental incorrecta, una falla lógica que se oculta tras cinco años de silencio.

Ejecución

Los pasos son brutalmente simples:

  • Crear un nuevo token SPL. Cualquier token. Sin relación con Raydium, con el pool, con nada.

  • Imprimir 1 unidad de ese token falso. Solo uno. Suministro total: 1.

  • Llamar a la función de retiro en el AMM V3 legado con ese token falso como "prueba de propiedad LP".

  • El contrato antiguo calcula: el atacante tiene 1 de 1 token LP existente → propiedad del 100%

  • El contrato libera todo el contenido del pool.

Repetir para el siguiente pool. Y el siguiente. Y el siguiente.

Cinco pools. Cinco iteraciones de la misma técnica. Todo el proceso se completó en una sesión on-chain que cualquiera puede rastrear, pero demasiado tarde para detener.

Resultados de la cosecha

De los cinco pools que fueron drenados:

  1. Sollet USDT-RAY

  2. Sollet ETH-RAY

  3. SRM-RAY

  4. USDC-RAY

  5. RAY-SOL

Total: 150.177 RAY, 5.603 SOL, 893.700 USDC.

$1.34 millones del código que oficialmente ya no existe.

Rastro de fuga

Fuente: https://arkm.com/explorer/address/4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk

De KuCoin, con saludo

Antes de lanzar el ataque, el atacante cometió un error que los investigadores recordarán: financiaron su wallet operativa a través de KuCoin, un exchange centralizado que tiene procedimientos KYC.

Es una ironía clásica en el mundo de la explotación DeFi. Construyes un ataque aprovechando la naturaleza permissionless de la blockchain, pero comenzaste desde un sistema que registra tu identidad.

KuCoin sabe quién depositó esos fondos iniciales.

Ruta de fuga

Después de cosechar los resultados en Solana, el atacante se movió rápidamente por la ruta familiar:

PeckShield y el investigador on-chain Specter rastrean este movimiento en tiempo real.

810 ETH a Tornado Cash. Este patrón se ha convertido en una firma estándar en la acción de lavado de dinero post-explotación DeFi. No es innovación. No es sorpresa. Y técnicamente, Tornado Cash ahora es más accesible, después de que el Departamento del Tesoro de EE. UU. lo eliminara de la lista de sanciones en marzo de 2025.

7 ETH a FixedFloat. Como ruta adicional, rompiendo el rastro.

Los fondos restantes: perdidos en el ruido de Ethereum.

Paradoja KuCoin

Aquí es donde el análisis se vuelve interesante.

El pipeline KuCoin→Tornado Cash no es una estrategia nueva. Es una plantilla estándar. Pero esto se convierte en la debilidad del atacante. Porque KuCoin es el punto de contacto con un sistema regulado, sus registros KYC se convierten en un ancla de atribución potencial para los investigadores. El dinero ya entró en el mixer, pero la identidad de la persona que introdujo el capital inicial puede haber sido registrada en los servidores de KuCoin.

¿Es eso suficiente? En cualquier jurisdicción que quiera colaborar, esto es posible.

Respuesta de Raydium

Raydium no perdió tiempo.

El colaborador seudónimo @0xINFRA anunció directamente en X el mismo día. Reconocimiento completo, detalles técnicos honestos, y (lo más importante) sin intentos de minimizar el incidente.

Puntos cruciales confirmados por el equipo:

  • No es un compromiso de clave. No es un ataque a nivel de autoridad. Es puramente una falla lógica aislada en el código legado.

  • No hay riesgo de propagación. Los programas activos de Raydium (CLMM y AMM versión nueva) utilizan mecanismos diferentes y no se ven afectados.

  • No hay usuarios activos afectados. Literalmente, no hay un solo usuario regular que pueda tocar estos pools a través de la interfaz oficial.

  • Compensación total del tesoro. Todo $1.34 millones será reembolsado desde la tesorería del protocolo. No hay pérdidas socializadas a los usuarios activos.

  • El programa ID AMM V3 Legacy está en proceso de jubilación formal, cerrando la posibilidad de más llamadas al código.

  • Se está lanzando una revisión de seguridad exhaustiva para todas las rutas de código mainnet y legacy.

El token RAY respondió tranquilamente. Subió aproximadamente un 2% en 24 horas después del incidente. Parece que el mercado eligió leer la transparencia de Raydium como una señal de credibilidad, no como un pánico por las cifras de pérdidas.

¿Qué lecciones podemos aprender?

Hay una lección técnica que es clara: la validación de la dirección de mint en el contrato AMM es algo básico. Verificar que los tokens LP presentados provengan realmente de un pool legítimo no es una característica opcional. Es un principio fundamental de la lógica de retiro de liquidez.

Pero la lección más profunda no es sobre líneas de código.

Se trata de responsabilidad hacia el sistema que alguna vez construiste.

Cronología resumida

  1. 2021 - Serum deprecated, Raydium migra a AMM V4/V5. Cinco pools legacy se dejaron con código activo y fondos dentro.

  2. Diciembre de 2022 - Raydium fue explotado por $4.4 millones a través del robo de la clave privada. El equipo refuerza la seguridad operativa. El código legado permanece sin tocar.

  3. Marzo de 2025 - Tornado Cash se elimina de la lista de sanciones de OFAC/Tesoro de EE. UU.

  4. Antes del 10 de junio de 2026 - El atacante financia la wallet operativa a través de KuCoin (datos KYC registrados).

  5. 10 de junio de 2026 - La explotación se lleva a cabo. Cinco pools son drenados uno por uno usando tokens LP falsos suministrados con 1 unidad. Total de $1.34 millones desaparecidos.

  6. 10 de junio de 2026 - PeckShield y Specter detectan y rastrean el movimiento de fondos en tiempo real.

  7. 10 de junio de 2026 - Los fondos son puenteados de Solana a Ethereum. 810 ETH van a Tornado Cash. 7 ETH a FixedFloat.

  8. 10 de junio de 2026 - @0xINFRA anuncia el incidente en X. Raydium confirma la compensación total del tesoro.

  9. 10 de junio de 2026 - Se lanza una revisión de seguridad exhaustiva. El programa ID legacy está en proceso de jubilación formal.

Referencia:

https://www.cryptotimes.io/2026/06/10/old-code-new-damage-raydium-hit-by-1-34m-legacy-pool-hack/

https://cryptonews.com/news/raydium-exploit-fake-lp-tokens-deprecated-solana-pools/

https://cryptobriefing.com/raydium-exploit-legacy-amm-v3/

https://www.ccn.com/news/crypto/raydium-exploit-legacy-pools-solana/

https://blockonomi.com/raydium-legacy-amm-v3-exploited-for-1-34m-via-lp-mint-flaw/

https://twitter.com/PeckShieldAlert

https://twitter.com/0xINFRA

Escrito: 12 de junio de 2026

Basado en informes on-chain y divulgaciones oficiales de Raydium

$RAY $SOL

RAY
RAY
--
--

#analysis #altcoins