Este hacker cripto millonario continúa retirando dinero libremente un año después

El 31 de octubre de 2025, el atacante de Radiant transfirió aproximadamente 5.411,8 ETH a Tornado Cash, una operación valorada en aproximadamente 20,7 millones de dólares.

Nueve días antes, el mismo grupo había movido aproximadamente 2.834,6 ETH, equivalentes a 10,8 millones de dólares, después de organizar fondos entre cadenas y a través de swaps antes del mixer.

Ninguna de las operaciones parecía apresurada. Ambas parecían la acción de un operador cuidadoso probando la liquidez y el tiempo de cumplimiento, dividiendo los depósitos en denominaciones comunes de Tornado que son económicas de mezclar y molestas de rastrear.

Cómo ocurrió el hackeo de Radiant

La historia de Radiant comienza el 16 de octubre de 2024, cuando sus pools de préstamos en Arbitrum y BNB Chain fueron drenados de aproximadamente 50 millones a 58 millones de dólares. Los primeros análisis técnicos post-mortem convergieron en un punto simple pero devastador.

La brecha se debió a un compromiso operacional que involucró a poseedores de claves y aprobaciones que permitieron a un atacante introducir transacciones maliciosas a través de un proceso de billetera multifirma. Las empresas de seguridad describieron cómo se indujo a los firmantes a aprobar las llamadas incorrectas.

El proyecto tenía un esquema de tres de once para acciones sensibles. Ese amplio conjunto de firmantes mejoró la disponibilidad pero amplió el área objetivo para el compromiso de dispositivos y la ingeniería social. El análisis de Halborn y otros reconstruyó cómo las aprobaciones y la higiene de los dispositivos crearon ventanas que el atacante explotó, mientras que las propias actualizaciones de incidentes de Radiant fijaron la cronología y la escala.

Informes posteriores sugirieron que un grupo respaldado por un estado utilizó la suplantación de identidad para obtener acceso, una afirmación que Radiant repitió cuando se asentó el polvo.

CryptoSlate cubrió las consecuencias en ese momento a través de una lente de tendencias delictivas. El informe señaló que las pérdidas totales por exploits de octubre cayeron a aproximadamente 116 millones de dólares, y que el incidente de Radiant representó casi la mitad de esa cifra mensual, concentrando una parte desproporcionada del dolor en un solo lugar.

Ese encuadre importa porque muestra cómo una sola brecha entre cadenas puede impactar significativamente el perfil de riesgo de un mes, incluso cuando el entorno más amplio parece tranquilo.

Lo que siguió durante el año siguiente estableció el patrón visible hoy. Los fondos salieron de las L2 y volvieron a Ethereum a través de puentes entre cadenas donde la liquidez es más profunda. Los swaps consolidaron los saldos en ETH para preparar el proceso de mezcla.

El tramo del 22-23 de octubre de 2025 proporciona un ejemplo claro. CertiK marcó 2.834,6 ETH en depósitos de Tornado y señaló que 2.213,8 ETH habían llegado a través del puente de Arbitrum desde EOA 0x4afb, con el resto proveniente de conversiones de DAI.

La operación del 31 de octubre aumentó el total acumulado en otros 5.411,8 ETH, con depósitos modulares que coinciden con las normas del pool de Tornado. La cadena es pública, la ruta es predecible, y los incentivos fomentan la paciencia sobre el espectáculo.

Lo que revelan las nuevas oleadas de lavado

La actividad reciente del mixer se lee como una estrategia de sangrado lento en lugar de una única salida. Los saltos de puente desde Arbitrum o BNB Chain traen saldos a los pools más profundos en la mainnet. Las rotaciones DEX establecen el inventario en ETH para las entradas más eficientes de Tornado.

El procesamiento por lotes en denominaciones estándar fractura el gráfico público en fragmentos que son costosos de unir. Los equipos de cumplimiento normativo aún ven mucho a pesar de eso. Agrupan direcciones en torno a patrones de gas compartidos y tiempos, coinciden depósitos con ventanas de retiro, y observan cadenas de pelado reveladoras que comienzan pequeñas, se extienden ampliamente, y luego se agregan cerca de un lugar objetivo.

La postura es pragmática porque el entorno legal recompensa el pragmatismo. Los tribunales han reducido las teorías más amplias del gobierno con respecto a la sanción del software descentralizado. Los fiscales han ganado y perdido varios casos relacionados con mixers.

El resultado es una zona gris donde las herramientas de privacidad continúan operando, y los exchanges confían en controles basados en el comportamiento en lugar de etiquetas generales. Las investigaciones aún detectan salidas. La fricción simplemente se desplaza del software al proceso.

Para usuarios y desarrolladores, la lección es concreta. Las decisiones de diseño conllevan resultados en efectivo. Los puentes y routers concentran valor y modos de fallo, que es precisamente por qué los atacantes los usan en la salida. Las aplicaciones multi-chain requieren memoria muscular para detenciones, cambios en listas blancas y instantáneas de liquidez, en lugar de improvisación ad hoc en la hora posterior a una brecha.

La documentación de Radiant muestra cómo la respuesta se endureció con el tiempo. Los costos de esa curva de aprendizaje fueron reales porque el atacante tenía la iniciativa. Los flujos actuales a través de Tornado Cash son la cola de la misma distribución.

El operador sigue moviéndose porque los rieles continúan operando. La respuesta adecuada son procedimientos endurecidos para poseedores de claves, aprobaciones más estrechas, monitoreo de puentes en tiempo real, y una cultura que trata los dispositivos de los firmantes como joyas de la corona.

El atacante de Radiant probablemente continuará empleando el mismo manual hasta que cambien las condiciones. Más depósitos de Tornado llegarán en tamaños familiares. Más actividad de puentes aparecerá desde direcciones vinculadas a las rutas de octubre de 2024. Una salida limpia eventualmente hará ping a un lugar regulado, y los escritorios sopesarán el tiempo y las heurísticas contra las narrativas de los clientes.

La consecuencia para el mercado es predecible. Cada salida paciente como esta reduce la confianza en las abstracciones entre cadenas y empuja a los equipos a auditar no solo el código sino también las operaciones. Los usuarios persiguen rendimiento a través de redes porque la experiencia se siente perfecta. Los ladrones más hábiles saben precisamente dónde está escondida esa costura.

El artículo Este hacker cripto millonario continúa cobrando libremente un año después apareció primero en CryptoSlate.