El hackeo de SecondFi en el ecosistema Cardano: las pérdidas reales podrían alcanzar los $20 millones
El proyecto SecondFi, que opera en el ecosistema de Cardano, ha confirmado un grave incidente de seguridad. La causa fue una vulnerabilidad en su propio software de generación de billeteras. Según las estimaciones preliminares del equipo, el daño directo asciende a aproximadamente 16 millones de ADA (unos $2,4 millones), aunque los datos de analistas independientes indican que las pérdidas reales podrían superar los $20 millones.
Durante la investigación interna se determinó que la brecha se originó en el generador de billeteras Cardano desarrollado por la empresa. El equipo ya realizó un análisis en cadena para evaluar la magnitud del daño y contrató a una empresa externa de seguridad blockchain para llevar a cabo una auditoría técnica independiente.
Discrepancia en las estimaciones de daños
Yu Xian, fundador de la empresa de seguridad SlowMist, considera que el daño real podría ser significativamente mayor que las cifras oficiales. Su análisis del movimiento de fondos del atacante y la actividad de las billeteras muestra que las pérdidas teóricas de los usuarios podrían superar los $20 millones.
Según la estimación de Cos, el incidente podría estar relacionado con pérdidas de hasta 129 millones de ADA y otros tokens, lo que supera con creces los cálculos iniciales del propio proyecto. Señaló que ha rastreado dos direcciones presuntas del atacante.
La brecha de aproximadamente ocho veces entre las estimaciones de SlowMist y SecondFi sigue siendo significativa. Esto podría significar que parte de las billeteras comprometidas aún no han sido vaciadas, pero siguen siendo vulnerables. Mientras no se retiren todos los activos, la amenaza para los usuarios persiste.
¿Por qué es peligrosa la vulnerabilidad y qué deben hacer los usuarios?
La amenaza afecta al principio fundamental de la autocustodia de activos. El software vulnerable generaba claves privadas con una aleatoriedad predecible, lo que puso en riesgo todas las billeteras creadas a través de este programa. Según la estimación inicial, alrededor de 178 billeteras se vieron afectadas.
SecondFi es un producto renombrado de Yoroi, una de las billeteras "ligeras" más antiguas y populares de Cardano, utilizada por más de un millón de titulares de ADA. Fue desarrollada por EMURGO, una de las tres empresas fundadoras de Cardano, que realizó el cambio de marca a principios de junio de 2026. Por lo tanto, el impacto reputacional del ataque se siente con más fuerza que en incidentes con proyectos anónimos.
El proyecto suspendió sus operaciones, entró en modo de mantenimiento y tomó una instantánea de los saldos de los usuarios. El equipo instó a todos los que crearon una billetera a través de su software a transferir inmediatamente sus activos a billeteras de otros servicios. SecondFi continúa con la investigación y promete revelar la cantidad exacta de pérdidas una vez que finalice la auditoría técnica.
Mi análisis: Este incidente es un recordatorio más de que incluso los proyectos respetados con años de trayectoria pueden contener errores críticos en su código. La generación predecible de claves es algo básico que ni los auditores ni los desarrolladores deberían pasar por alto. Los usuarios de Cardano deberían reconsiderar sus enfoques de seguridad: confiar sus activos exclusivamente a billeteras de hardware o a soluciones de código abierto verificadas y auditadas múltiples veces. Mientras la industria no desarrolle estándares de seguridad unificados para las billeteras "ligeras", este tipo de ataques se repetirán.