Cómo este hacker millonario de criptomonedas sigue cobrando libremente un año después

El 31 de octubre de 2025, el explotador de Radiant transfirió aproximadamente 5.411,8 ETH a Tornado Cash, una operación valuada en cerca de 20,7 millones de dólares.

Nueve días antes, el mismo grupo había movido aproximadamente 2.834,6 ETH, equivalentes a 10,8 millones de dólares, después de mover fondos entre cadenas y realizar swaps antes de llegar al mixer.

Ninguna de las dos oleadas pareció apresurada. Ambas parecían obra de un operador cuidadoso, probando la liquidez y los tiempos de cumplimiento, dividiendo los depósitos en denominaciones comunes de Tornado que son baratas de mezclar y difíciles de rastrear.

Cómo ocurrió el hackeo de Radiant

La historia de Radiant comienza el 16 de octubre de 2024, cuando sus pools de préstamos en Arbitrum y BNB Chain fueron vaciados por un monto de entre 50 y 58 millones de dólares. Los primeros análisis técnicos coincidieron en un punto simple pero devastador.

La brecha se debió a un compromiso operacional que involucró a los poseedores de claves y aprobaciones, lo que permitió a un atacante impulsar transacciones maliciosas a través de un proceso de firma múltiple. Empresas de seguridad describieron que los firmantes fueron inducidos a aprobar las llamadas incorrectas.

El proyecto tenía un esquema de tres de once para acciones sensibles. Ese conjunto amplio de firmantes mejoraba la disponibilidad, pero ampliaba el área de ataque para comprometer dispositivos e ingeniería social. El análisis de Halborn y otros reconstruyó cómo las aprobaciones y la higiene de los dispositivos crearon ventanas que el atacante explotó, mientras que las actualizaciones de incidentes de Radiant fijaron la cronología y la magnitud.

Informes posteriores sugirieron que un grupo respaldado por el Estado utilizó la suplantación de identidad para obtener acceso, una afirmación que Radiant repitió cuando se calmó la situación.

CryptoSlate cubrió las consecuencias en ese momento desde una perspectiva de tendencias delictivas. El informe señaló que las pérdidas totales por exploits en octubre cayeron a aproximadamente 116 millones de dólares, y que el incidente de Radiant representó casi la mitad de esa cifra mensual, concentrando una parte desproporcionada del daño en un solo lugar.

Ese encuadre es importante porque muestra cómo una sola brecha cross-chain puede impactar significativamente el perfil de riesgo de un mes, incluso cuando el entorno general parece tranquilo.

Lo que siguió durante el año siguiente estableció el patrón visible hoy. Los fondos salieron de L2s y regresaron a Ethereum a través de bridges donde la liquidez es más profunda. Los swaps consolidaron los saldos en ETH para prepararse para el proceso de mezcla.

El tramo del 22-23 de octubre de 2025 es un ejemplo claro. CertiK detectó 2.834,6 ETH en depósitos a Tornado y señaló que 2.213,8 ETH habían llegado a través del bridge de Arbitrum desde la EOA 0x4afb, con el resto proveniente de conversiones de DAI.

La oleada del 31 de octubre aumentó el total acumulado en otros 5.411,8 ETH, con depósitos modulares que coinciden con las normas de los pools de Tornado. La cadena es pública, la ruta es predecible y los incentivos favorecen la paciencia sobre el espectáculo.

Lo que revelan las nuevas oleadas de lavado

La actividad reciente en el mixer parece una estrategia de sangría lenta más que una salida única. Los saltos de bridge desde Arbitrum o BNB Chain llevan los saldos a los pools más profundos en mainnet. Las rotaciones en DEX preparan el inventario en ETH para las entradas más eficientes a Tornado.

Agrupar en denominaciones estándar fractura el gráfico público en fragmentos costosos de recomponer. A pesar de eso, los equipos de cumplimiento aún ven mucho. Agrupan direcciones por patrones de gas compartidos y tiempos, emparejan depósitos con ventanas de retiro y vigilan las cadenas de peel que comienzan pequeñas, se expanden y luego se agrupan cerca de un destino.

La postura es pragmática porque el entorno legal premia el pragmatismo. Los tribunales han acotado las teorías más amplias del gobierno respecto a la sanción de software descentralizado. Los fiscales han ganado y perdido diversos casos relacionados con mixers.

El resultado es una zona gris donde las herramientas de privacidad siguen operando y los exchanges dependen de controles basados en comportamiento en lugar de etiquetas generales. Las investigaciones aún detectan salidas. La fricción simplemente se traslada del software al proceso.

Para usuarios y desarrolladores, la lección es concreta. Las decisiones de diseño tienen consecuencias económicas. Los bridges y routers concentran valor y modos de falla, que es precisamente por lo que los explotadores los usan para salir. Las aplicaciones multichain requieren memoria muscular para pausas, cambios de allowlist y snapshots de liquidez, en lugar de improvisaciones ad hoc tras una brecha.

La documentación de Radiant muestra cómo la respuesta se fue ajustando con el tiempo. Los costos de esa curva de aprendizaje fueron reales porque el atacante tenía la iniciativa. Los flujos actuales a través de Tornado Cash son la cola de esa misma distribución.

El operador sigue moviéndose porque las vías siguen funcionando. La respuesta adecuada son procedimientos reforzados para los poseedores de claves, aprobaciones más restringidas, monitoreo en tiempo real de bridges y una cultura que trate los dispositivos de los firmantes como joyas de la corona.

Es probable que el explotador de Radiant continúe usando el mismo manual hasta que cambien las condiciones. Llegarán más depósitos a Tornado en tamaños familiares. Habrá más actividad de bridges desde direcciones vinculadas a los caminos de octubre de 2024. Una salida limpia eventualmente llegará a una plataforma regulada, y las mesas evaluarán el timing y las heurísticas frente a los relatos de los clientes.

La consecuencia para el mercado es predecible. Cada salida paciente como esta reduce la confianza en las abstracciones cross-chain y empuja a los equipos a auditar no solo el código sino también las operaciones. Los usuarios persiguen el yield entre redes porque la experiencia parece fluida. Los ladrones más hábiles saben exactamente dónde está oculta esa costura.

La publicación How this millionaire crypto hacker continues to freely cash out a year later apareció primero en CryptoSlate.