Raydium sufre un exploit de 1,34 millones de dólares en pools de liquidez obsoletos de Solana

El ecosistema de finanzas descentralizadas (DeFi) en Solana volvió a ser escenario de un incidente de seguridad cuando Raydium, uno de los exchanges descentralizados más destacados de la red, anunció que compensará a los usuarios afectados por un exploit que robó más de 1,34 millones de dólares. El ataque se centró en cinco pools de liquidez obsoletos de una versión antigua de su protocolo de market maker automatizado (AMM), lo que permitió al atacante manipular la lógica de validación y generar nuevos tokens de proveedor de liquidez sin autorización. Aunque el incidente no afectó a usuarios actuales ni a la interfaz de usuario activa del exchange, subraya los riesgos persistentes asociados a la obsolescencia de contratos inteligentes y la necesidad de auditorías continuas en el espacio DeFi.

El exploit ocurrió el 10 de junio de 2026 y afectó a pools que habían sido descontinuados en 2021, una decisión técnica que, en teoría, debería haber aislado cualquier vulnerabilidad futura. Sin embargo, el atacante logró explotar una debilidad en el código legado del AMM V3 de Raydium, extrayendo aproximadamente 900.000 dólares en USDC, 357.000 dólares en SOL y 86.000 dólares en el token nativo RAY. La plataforma confirmó que los fondos serían reembolsados directamente desde su tesorería, una medida que evita impactos directos en los usuarios actuales pero que refleja la responsabilidad asumida por el equipo frente a fallos en componentes desactivados. Este enfoque, aunque comprensible desde la perspectiva de la confianza del usuario, plantea preguntas sobre la gestión de riesgos en protocolos que operan con versiones antiguas de código en producción.

Cómo ocurrió el ataque: exploiting pools obsoletos en un AMM legado

El exploit se basó en una vulnerabilidad en la lógica de validación del AMM V3 de Raydium, un protocolo que ya no estaba en uso activo pero que seguía alojado en la blockchain de Solana. Según un comunicado de 0xInfra, contribuidor seudónimo de Raydium, el atacante logró "omitir la lógica de validación" en los pools descontinuados, lo que le permitió generar nuevos tokens de proveedor de liquidez (LP tokens) sin poseer los activos subyacentes. Este mecanismo es típico en ataques de DeFi, donde los atacantes explotan inconsistencias entre el estado on-chain y las reglas definidas en contratos inteligentes antiguos o mal auditados.

Lo más preocupante es que los pools afectados habían sido desactivados en 2021, lo que significa que su código ya no recibía actualizaciones ni revisiones de seguridad. A pesar de esto, seguían siendo accesibles en la blockchain, lo que permitió al atacante interactuar con ellos directamente a través de transacciones on-chain. La falta de barreras técnicas para acceder a pools obsoletos —como límites de tiempo o desactivación permanente— facilitó la explotación. Además, el atacante utilizó una dirección de Solana que terminaba en "Bq33QVk", lo que sugiere un enfoque metódico y posiblemente automatizado, típico en exploits recientes que combinan herramientas de análisis de código y ejecución de transacciones a gran velocidad.

El impacto financiero y la respuesta de Raydium

El robo ascendió a 1,34 millones de dólares en activos digitales, una cantidad significativa pero manejable para una plataforma con recursos como Raydium. La empresa anunció que reembolsaría a los afectados utilizando su tesorería, una decisión que, aunque costosa, busca preservar la confianza en el ecosistema y evitar un efecto dominó en la percepción de seguridad de la plataforma. Este enfoque contrasta con otros incidentes recientes en DeFi, donde los protocolos han optado por no compensar pérdidas o han entrado en disputas legales con los atacantes.

Sin embargo, el impacto no se limita a la pérdida financiera. El incidente expone una debilidad estructural en la gestión de versiones de código en DeFi: la persistencia de contratos obsoletos en la blockchain. Aunque Raydium aclaró que "ningún usuario actual de Raydium se vio afectado por este exploit ni habría podido interactuar con estos pools a través de la interfaz de usuario", el hecho de que existieran pools activos en la cadena de bloques —aunque descontinuados— plantea dudas sobre las prácticas de limpieza de código en el ecosistema. Muchos protocolos DeFi acumulan versiones antiguas de sus contratos por razones de compatibilidad o legado, pero esto aumenta la superficie de ataque y la complejidad de la auditoría continua.

Contexto: DeFi bajo presión por ataques recurrentes

Este exploit se suma a una ola de ataques en el espacio DeFi, donde los protocolos descentralizados se han convertido en blancos frecuentes de hackers. Según datos del sector, los exploits en DeFi aumentaron un 30% en el primer semestre de 2026, con pérdidas que superan los 500 millones de dólares. Lo alarmante es que muchos de estos ataques no solo explotan vulnerabilidades técnicas, sino que también aprovechan herramientas avanzadas como inteligencia artificial para analizar contratos inteligentes en busca de debilidades o para automatizar la ejecución de exploits a gran escala.

Raydium no es el único protocolo en Solana que ha sufrido incidentes recientes. En los últimos meses, varias plataformas han reportado exploits que van desde robos de tokens hasta manipulaciones de precios en pools de liquidez. Estos incidentes reflejan un patrón preocupante: la escalada de sofisticación en los ataques, combinada con la presión por lanzar productos rápidamente en un mercado altamente competitivo. La urgencia por capturar cuota de mercado a menudo lleva a los equipos a priorizar el lanzamiento sobre la auditoría exhaustiva, lo que deja ventanas abiertas para exploits como el ocurrido en Raydium.

Lecciones técnicas: por qué los pools obsoletos son un riesgo latente

El caso de Raydium ilustra un problema recurrente en DeFi: la acumulación de código legado en la blockchain. Aunque los pools de liquidez obsoletos ya no estaban disponibles en la interfaz de usuario, seguían siendo accesibles en la cadena de bloques como contratos inteligentes activos. Esto significa que, técnicamente, cualquier usuario —o atacante— con conocimientos suficientes podía interactuar con ellos mediante transacciones directas. La falta de mecanismos de desactivación permanente o de barreras técnicas (como whitelists o requisitos de firma múltiple) facilitó la explotación.

Otro aspecto crítico es la validación de lógica en contratos inteligentes. En el caso de Raydium, el atacante logró "omitir la lógica de validación" en el AMM V3, lo que sugiere que el código contenía una debilidad en la forma en que se verificaban las transacciones o se emitían los tokens de liquidez. Esto podría deberse a un error en la implementación de funciones como transfer, mint o burn, o a una falta de controles adecuados en las funciones de administración. Los protocolos DeFi deben implementar auditorías continuas, incluso en componentes descontinuados, y considerar la implementación de "kill switches" que desactiven permanentemente contratos obsoletos en la blockchain.

Responsabilidad y transparencia: ¿qué deben hacer los usuarios?

Para los usuarios de DeFi, este incidente subraya la importancia de verificar no solo la reputación de un protocolo, sino también su historial de seguridad y la gestión de versiones de código. Aunque Raydium actuó con transparencia al anunciar el exploit y compensar a los afectados, no todos los protocolos siguen este ejemplo. Los usuarios deben investigar si un exchange o pool de liquidez tiene un historial de exploits previos, cómo maneja las compensaciones y si realiza auditorías públicas de sus contratos.

Además, es recomendable que los usuarios eviten interactuar con pools o protocolos que no estén en uso activo o que hayan sido descontinuados. Aunque algunos protocolos mantienen pools obsoletos por compatibilidad, estos representan un riesgo innecesario. También es útil monitorear las direcciones de contratos inteligentes en exploradores de blockchain como Solscan o SolanaFM para verificar si un pool sigue activo o ha sido desactivado. Herramientas como estas permiten a los usuarios detectar posibles riesgos antes de interactuar con un protocolo.

El futuro de la seguridad en DeFi: automatización y auditorías en tiempo real

El incidente en Raydium destaca la necesidad de adoptar herramientas de seguridad más avanzadas en DeFi, especialmente en redes como Solana, donde la velocidad de las transacciones y la complejidad de los contratos pueden facilitar los exploits. Una de las soluciones emergentes es el uso de sistemas de detección de anomalías en tiempo real, que monitoreen transacciones sospechosas y bloqueen actividades maliciosas antes de que se complete un exploit. Plataformas como Forta o Chainalysis ya ofrecen servicios de este tipo, pero su adopción sigue siendo limitada en muchos protocolos.

Otra tendencia es la integración de inteligencia artificial para analizar contratos inteligentes en busca de vulnerabilidades antes de su despliegue. Herramientas como Certora o OpenZeppelin Defender utilizan IA para detectar patrones de código inseguros, como reentrancias, desbordamientos de enteros o problemas en la lógica de validación. Estas soluciones podrían reducir significativamente el número de exploits, especialmente en protocolos que operan con versiones antiguas de código. Sin embargo, su implementación requiere una inversión significativa en recursos técnicos y humanos, lo que no todos los equipos pueden permitirse.

¿Qué sigue para Raydium y el ecosistema Solana?

Raydium ha confirmado que los pools afectados ya no están disponibles para interacción y que el exploit no afectó a sus programas principales en la red principal. El equipo también ha destacado que el incidente no estuvo relacionado con un "compromiso de claves o un problema de autoridad", lo que sugiere que la vulnerabilidad fue puramente técnica y no el resultado de un ataque interno o externo a los sistemas de gestión del exchange. A pesar de esto, el incidente servirá como un recordatorio para que el ecosistema Solana revise sus prácticas de gestión de código legado y adopte estándares más estrictos en auditorías y transparencia.

Para Solana, este exploit llega en un momento crítico, ya que la red busca consolidar su posición como una de las principales blockchains para DeFi. Incidentes como este pueden erosionar la confianza de los inversores y usuarios, especialmente en un contexto donde la competencia con otras redes como Ethereum o Base es feroz. Raydium, como uno de los protocolos más reconocidos en Solana, tiene la oportunidad de liderar con el ejemplo, implementando mejoras en su seguridad y compartiendo lecciones aprendidas con el resto del ecosistema.

En conclusión, el exploit en Raydium es un recordatorio de que, en DeFi, la seguridad no es un estado final, sino un proceso continuo. La compensación de los fondos robados demuestra un compromiso con la confianza del usuario, pero también expone las debilidades estructurales en la gestión de código legado. Los protocolos deben priorizar la auditoría continua, la transparencia y la adopción de herramientas avanzadas de seguridad para proteger a sus usuarios. Para los inversores y usuarios, este incidente es una llamada de atención para ser más diligentes en la evaluación de riesgos y en la interacción con protocolos descentralizados. La seguridad en DeFi no puede depender solo de la buena voluntad de los equipos; requiere un enfoque proactivo y una cultura de responsabilidad compartida en todo el ecosistema.