El hackeo de SecondFi: el daño real al ecosistema de Cardano podría ser varias veces mayor de lo declarado
La ecosistema de Cardano ha sufrido un duro golpe a su reputación. El proyecto SecondFi, anteriormente conocido como la popular billetera Yoroi, ha confirmado la explotación de una vulnerabilidad crítica en su propio software de generación de billeteras. Según datos preliminares del equipo, el daño directo asciende a aproximadamente 16 millones de ADA (unos $2,4 millones). Sin embargo, mi análisis de datos on-chain y las evaluaciones de expertos independientes indican que las pérdidas reales de los usuarios podrían superar los $20 millones.
Durante la investigación se descubrió que la brecha estaba en el código propietario responsable de la creación de claves privadas. Debido a un defecto en el generador de números pseudoaleatorios, todas las billeteras creadas a través de este software quedaron comprometidas. El atacante pudo predecir y recuperar las claves, lo que llevó al vaciamiento de los fondos. Hasta el momento, se ha confirmado que alrededor de 178 billeteras están en riesgo, pero esta cifra podría no ser definitiva.
Discrepancia en las estimaciones: por qué $2,4 millones es solo el comienzo
El fundador de la empresa de seguridad SlowMist, Yu Xian, realizó un análisis independiente del movimiento de fondos. Sus datos indican que la magnitud del desastre es significativamente mayor. Según su estimación, dos direcciones rastreadas del atacante podrían estar vinculadas a pérdidas de hasta 129 millones de ADA y otros tokens. Esto es ocho veces la estimación del propio proyecto.
Esta enorme discrepancia se explica simplemente: parte de las billeteras comprometidas aún no habían sido vaciadas en el momento del primer informe de SecondFi. Esto significa que el atacante, al tener acceso a las claves, puede atacar en cualquier momento. Los usuarios que no lograron retirar sus fondos están sentados sobre una "bomba de tiempo".
Golpe a la reputación de Cardano
Es importante entender el contexto. SecondFi es el cambio de marca de la billetera Yoroi, desarrollada por EMURGO, uno de los tres cofundadores de Cardano. Yoroi fue utilizada por más de un millón de titulares de ADA. No es un proyecto DeFi anónimo, sino un producto insignia del ecosistema. Por lo tanto, las consecuencias reputacionales aquí son mucho más graves que en el hackeo de un protocolo poco conocido.
El equipo de SecondFi ya ha suspendido el servicio, ha tomado una instantánea de los saldos y ha instado a todos los usuarios que crearon una billetera a través de su software a transferir inmediatamente sus activos a otros servicios. La investigación continúa, y la cantidad exacta de daños se revelará después de que una empresa externa complete la auditoría técnica.
Comentario del analista: Este incidente es un duro recordatorio de que incluso las billeteras "ligeras" de desarrolladores de confianza conllevan riesgos. Confiar únicamente en la reputación de la marca es un error. Cada usuario debe exigir auditorías públicas del código de generación de claves. Hasta que el ecosistema de Cardano no establezca estándares de seguridad estrictos para sus proyectos "ancla", incidentes como este seguirán socavando la confianza en toda la red.