El 16 de diciembre de 2022, el principal AMM de Solana Raydium perdió aproximadamente $4,4 millones cuando un atacante obtuvo la clave privada del pool-admin a través de malware troyano en la máquina del admin. El atacante luego usó funciones admin legítimas para retirar comisiones del protocolo y manipular parámetros del pool a su favor.
Qué ocurrió
Los pools de liquidez de Raydium tenían una autoridad admin capaz de operaciones privilegiadas: retirar comisiones de trading acumuladas, ajustar parámetros del pool y otras funciones de mantenimiento. Esta autoridad estaba controlada por una sola clave.
El compromiso no fue un bug de contrato inteligente — la lógica del programa de Raydium funcionaba como estaba diseñada. El atacante:
- Comprometió la máquina del pool-admin con malware troyano que extrajo la clave privada del admin.
- Usó la clave admin para llamar a funciones privilegiadas legítimas:
- Retiró comisiones de trading acumuladas de los pools directamente a direcciones del atacante.
- Manipuló parámetros del pool (
withdrawPNLy operaciones admin relacionadas) para extraer valor adicional.
- Drenó aproximadamente $4,4 M a través de múltiples pools de Raydium.
Como cada transacción estaba firmada por la clave admin legítima y llamaba a funciones legítimas, la actividad parecía superficialmente como mantenimiento normal del protocolo — hasta que se notó la salida acumulada.
Consecuencias
- Raydium pausó los pools afectados y rotó las autoridades a una configuración de multi-sig + hardware wallet.
- El equipo propuso un plan de compensación usando el tesoro del protocolo y recompras de RAY para restituir a los LP afectados con el tiempo.
- Los fondos robados fueron puenteados fuera de Solana y blanqueados.
Por qué importa
El incidente de Raydium es un compromiso de clave admin vía malware de endpoint de libro de texto — la misma causa raíz que EasyFi (2021), bZx noviembre 2021 y muchos otros. La lección es consistente y poco glamorosa: las claves admin únicas mantenidas en máquinas conectadas a internet son el modelo de seguridad real, sin importar cuán bien diseñado esté el programa on-chain.
Las lecciones estructurales:
-
Las claves privilegiadas pertenecen a hardware wallets detrás de multi-sig. Raydium operaba un AMM líder con una sola clave admin en una máquina que podía ser comprometida por malware comercial. La migración post-incidente a multi-sig + firma con hardware es la configuración que debería haber estado en su lugar antes.
-
El abuso de funciones legítimas es más difícil de detectar que los exploits. Como el atacante llamaba a funciones admin reales con firmas reales, la actividad no activaba heurísticas de "esto es un exploit" — parecía mantenimiento. La detección de anomalías en patrones de llamada de funciones privilegiadas (volumen, frecuencia, direcciones de destino) es la capa defensiva que captura esto; Raydium no la tenía afinada para activarse.
-
El modelo de autoridad admin de Solana concentra el riesgo. Muchos programas de Solana usan una sola autoridad de actualización/admin por defecto. El incidente de Raydium, junto con el compromiso mucho mayor de Drift Protocol en 2026, ilustra que la postura de seguridad operativa de DeFi en Solana ha sido un punto débil recurrente independiente de la seguridad a nivel de programa de la cadena.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-raydium-hack-december-2022
- [02]defiteller.comhttps://defiteller.com/raydium-shares-more-details-on-its-recent-exploit
- [03]bitdegree.orghttps://www.bitdegree.org/crypto/news/decentralized-exchange-raydium-shares-additional-information-about-recent-hack