Cómo este hacker millonario de criptomonedas sigue retirando fondos libremente un año después

El 31 de octubre de 2025, el explotador de Radiant transfirió aproximadamente 5,411.8 ETH a Tornado Cash, una operación valorada en alrededor de 20.7 millones de dólares.

Nueve días antes, el mismo grupo había movido aproximadamente 2,834.6 ETH, equivalentes a 10.8 millones de dólares, después de organizar fondos a través de diferentes cadenas y swaps antes de llegar al mezclador.

Ninguna de las dos ráfagas pareció apresurada. Ambas parecían la obra de un operador cuidadoso probando la liquidez y el tiempo de cumplimiento, dividiendo los depósitos en denominaciones comunes de Tornado que son baratas de mezclar y difíciles de rastrear.

Cómo ocurrió el hackeo de Radiant

La historia de Radiant comienza el 16 de octubre de 2024, cuando sus pools de préstamos en Arbitrum y BNB Chain fueron vaciados por un monto de entre 50 millones y 58 millones de dólares. Los primeros análisis técnicos convergieron en un punto simple pero devastador.

La brecha se debió a un compromiso operativo que involucró a los poseedores de claves y aprobaciones que permitieron a un atacante ejecutar transacciones maliciosas a través de un proceso de firma múltiple. Las firmas de seguridad describieron que los firmantes fueron inducidos a aprobar las llamadas incorrectas.

El proyecto tenía un esquema de tres de once para acciones sensibles. Ese conjunto amplio de firmantes mejoraba la disponibilidad pero ampliaba el área objetivo para el compromiso de dispositivos e ingeniería social. El análisis de Halborn y otros reconstruyó cómo las aprobaciones y la higiene de los dispositivos crearon ventanas que el atacante explotó, mientras que las propias actualizaciones de incidentes de Radiant fijaron la cronología y la escala.

Informes posteriores sugirieron que un grupo respaldado por el estado utilizó la suplantación de identidad para obtener acceso, una afirmación que Radiant repitió una vez que se asentó el polvo.

CryptoSlate cubrió las consecuencias en ese momento desde la perspectiva de la tendencia delictiva. El informe señaló que las pérdidas totales por exploits en octubre cayeron a aproximadamente 116 millones de dólares, y que el incidente de Radiant representó casi la mitad de esa cifra mensual, concentrando una parte desproporcionada del daño en un solo lugar.

Esa perspectiva es importante porque muestra cómo una sola brecha cross-chain puede impactar significativamente el perfil de riesgo de un mes, incluso cuando el entorno general parece tranquilo.

Lo que siguió durante el año siguiente estableció el patrón visible hoy. Los fondos salieron de las L2 y regresaron a Ethereum a través de bridges donde la liquidez es más profunda. Los swaps consolidaron los saldos en ETH para prepararse para el proceso de mezcla.

El tramo del 22-23 de octubre de 2025 proporciona un ejemplo claro. CertiK señaló 2,834.6 ETH en depósitos a Tornado y observó que 2,213.8 ETH habían llegado a través del bridge de Arbitrum desde la EOA 0x4afb, con el resto proveniente de conversiones de DAI.

La ráfaga del 31 de octubre aumentó el total acumulado en otros 5,411.8 ETH, con depósitos modulares que coinciden con las normas del pool de Tornado. La cadena es pública, la ruta es predecible y los incentivos fomentan la paciencia sobre el espectáculo.

Lo que revelan las nuevas ráfagas de lavado

La actividad reciente en el mezclador parece una estrategia de sangrado lento más que una salida única. Los saltos de bridge desde Arbitrum o BNB Chain llevan los saldos a los pools más profundos en mainnet. Las rotaciones en DEX preparan el inventario en ETH para las entradas más eficientes a Tornado.

Agrupar en denominaciones estándar fractura el gráfico público en fragmentos que son costosos de unir. A pesar de ello, los equipos de cumplimiento aún ven mucho. Agrupan direcciones en torno a patrones de gas y tiempos compartidos, emparejan depósitos con ventanas de retiro y vigilan las cadenas de peel que comienzan pequeñas, se expanden y luego se agregan cerca de un destino.

La postura es pragmática porque el entorno legal recompensa el pragmatismo. Los tribunales han limitado las teorías más amplias del gobierno respecto a la sanción de software descentralizado. Los fiscales han ganado y perdido varios casos relacionados con mezcladores.

El resultado es una zona gris donde las herramientas de privacidad continúan operando y los exchanges dependen de controles basados en el comportamiento en lugar de etiquetas generales. Las investigaciones aún detectan salidas. La fricción simplemente se traslada del software al proceso.

Para usuarios y desarrolladores, la lección es concreta. Las decisiones de diseño tienen consecuencias financieras. Los bridges y routers concentran valor y modos de fallo, que es precisamente por lo que los explotadores los usan al salir. Las aplicaciones multichain requieren memoria muscular para pausas, cambios en la allowlist y snapshots de liquidez, en lugar de improvisaciones ad hoc tras una brecha.

La documentación de Radiant muestra cómo la respuesta se fue endureciendo con el tiempo. Los costos de esa curva de aprendizaje fueron reales porque el atacante tenía la iniciativa. Los flujos actuales a través de Tornado Cash son la cola de esa misma distribución.

El operador sigue moviéndose porque las vías siguen operativas. La respuesta adecuada son procedimientos reforzados para los poseedores de claves, aprobaciones más restringidas, monitoreo de bridges en tiempo real y una cultura que trate los dispositivos de los firmantes como joyas de la corona.

Es probable que el explotador de Radiant continúe empleando el mismo manual hasta que cambien las condiciones. Llegarán más depósitos a Tornado en tamaños familiares. Aparecerá más actividad de bridges desde direcciones vinculadas a las rutas de octubre de 2024. Una salida limpia eventualmente llegará a una plataforma regulada, y las mesas evaluarán el tiempo y las heurísticas frente a las narrativas de los clientes.

La consecuencia para el mercado es predecible. Cada salida paciente como esta reduce la confianza en las abstracciones cross-chain y empuja a los equipos a auditar no solo el código sino también las operaciones. Los usuarios persiguen el rendimiento a través de redes porque la experiencia parece fluida. Los ladrones más hábiles saben exactamente dónde está oculta esa costura.

La publicación How this millionaire crypto hacker continues to freely cash out a year later apareció primero en CryptoSlate.