Raydium pierde $1,34 millones tras exploit en pools AMM retirados

Raydium, uno de los exchanges descentralizados más grandes de Solana, perdió alrededor de $1,34 millones el 10 de junio después de que un atacante explotara una falla en su programa heredado AMM V3, drenando cinco pools de liquidez que estaban inactivos desde 2021.

"El exploit se limitó a un programa retirado que ya no era accesible a través de la interfaz de Raydium", publicó en X el colaborador seudónimo 0xInfra. "Ningún usuario actual de Raydium se ha visto afectado por este exploit".

El ataque se dirigió a cinco pools inactivos — Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY y RAY-SOL — todos vinculados a la era Serum en Solana. El atacante extrajo aproximadamente 150.177 RAY, 5.603 SOL y 893.700 USDC, por un valor aproximado de $900.000, $357.000 y $86.000 respectivamente, según 0xInfra. La dirección del atacante en Solana termina en Bq33QVk.

El antiguo programa no validaba si el token LP emitido era legítimo, lo que permitió al atacante crear un token ficticio y eludir los controles de proporción que rigen los retiros. Raydium señaló que sus programas actuales en mainnet evitan este error mediante un mecanismo de suministro virtual y una verificación más estricta del token LP. El exchange agregó que sus programas activos están siendo sometidos a una revisión de seguridad independiente.

PeckShield y el investigador en cadena Specter rastrearon la financiación inicial del atacante hasta KuCoin. Los fondos robados fueron puenteados desde Solana a Ethereum y depositados en Tornado Cash, un mezclador de criptomonedas que oculta el rastro en la cadena.

RAY cotizó al alza más del 2% en el día a $0,578, aunque seguía cayendo alrededor del 7% en la semana y un 96,6% por debajo de su máximo histórico de $16,83. Los pools de liquidez concentrada de Raydium y las versiones más recientes de AMM no estuvieron expuestos, limitando la pérdida total a $1,34 millones.

El incidente pone de relieve un riesgo estructural único de las blockchains públicas: los contratos inteligentes obsoletos permanecen activos en la cadena incluso después de ser retirados de la interfaz de un protocolo, dejando los fondos inactivos expuestos a vulnerabilidades en el código retirado. Raydium dijo que compensará a los usuarios afectados con cargo a su tesorería.

Este artículo es únicamente con fines informativos y no constituye asesoramiento de inversión.