El hackeo de SecondFi en Cardano: El daño real podría superar los $20 millones — análisis de Cryptalist
La ecosistema de Cardano se ha enfrentado a un grave incidente de seguridad. El proyecto SecondFi, anteriormente conocido como la popular billetera Yoroi, informó sobre una vulnerabilidad en su propio software de generación de billeteras. Aunque el equipo del proyecto estima los daños en 16 millones de ADA (aproximadamente $2.4 millones), mi análisis independiente de los datos de la cadena de bloques indica pérdidas mucho mayores, que podrían superar los $20 millones.
Durante la investigación, se identificó una brecha crítica en el algoritmo de generación de claves privadas. El software de SecondFi creaba claves con una aleatoriedad predecible, lo que permitió a un atacante calcular y comprometer alrededor de 178 billeteras. El equipo del proyecto confirmó el problema, está realizando una auditoría técnica de seguridad independiente y ha suspendido el servicio, entrando en modo de mantenimiento.
Discrepancia en la estimación de daños
El fundador de la empresa de seguridad SlowMist, Yu Xian, proporcionó datos que difieren drásticamente de la estimación del propio proyecto. El análisis del movimiento de fondos y la actividad de las billeteras del atacante muestra que las pérdidas teóricas de los usuarios podrían superar los $20 millones. Además, según sus datos, las pérdidas relacionadas con el incidente podrían alcanzar hasta 129 millones de ADA y otros tokens, casi ocho veces más que la estimación inicial de SecondFi.
Esta brecha podría significar que parte de las billeteras comprometidas aún no han sido vaciadas, pero siguen siendo vulnerables. Este es un escenario clásico en el que el atacante no se apresura a retirar todos los fondos para no llamar demasiado la atención o esperar un momento más favorable para la conversión.
Golpe reputacional y consecuencias
Es importante entender que SecondFi es una versión renombrada de Yoroi, una de las billeteras "ligeras" más antiguas y populares de Cardano, desarrollada por la empresa EMURGO. Un ataque a un producto tan respetado y ampliamente utilizado inflige un golpe reputacional mucho más fuerte a todo el ecosistema que los incidentes con proyectos DeFi anónimos.
El equipo de SecondFi instó a todos los usuarios que crearon una billetera a través de su software a transferir inmediatamente los fondos a otros servicios. La cantidad exacta de pérdidas se revelará después de que se complete la auditoría técnica.
Opinión del experto: Este incidente es un duro recordatorio de que incluso las soluciones probadas por el tiempo no están exentas de errores fatales en el código. Los usuarios de Cardano deberían abstenerse temporalmente de usar cualquier billetera "ligera" generada a través de SecondFi y pasar a soluciones de hardware o billeteras generadas de forma independiente con una frase semilla verificada. Hasta que se complete la auditoría, la confianza en la plataforma debe reducirse a cero.