El hackeo de SecondFi en Cardano: el daño real podría superar los $20 millones
La ecosistema de Cardano se ha enfrentado a un grave incidente de seguridad: el proyecto SecondFi, anteriormente conocido como la billetera Yoroi, informó de un hackeo causado por una vulnerabilidad en su propio software de generación de billeteras. Según los datos preliminares del equipo, los daños se estiman en aproximadamente 16 millones de ADA (alrededor de $2.4 millones), sin embargo, un análisis independiente indica que las pérdidas reales podrían ser significativamente mayores, superando los $20 millones.
El incidente afectó a una de las billeteras "ligeras" más populares en el ecosistema de Cardano, utilizada por más de un millón de titulares de ADA. La vulnerabilidad consistía en que el software generaba claves privadas con una aleatoriedad predecible, lo que hacía que todas las billeteras creadas a través de él fueran potencialmente vulnerables. Inicialmente se informó de 178 billeteras comprometidas, pero la magnitud real podría ser mucho mayor.
Discrepancia en las estimaciones: ¿$2.4 millones o $20 millones?
El fundador de la empresa de seguridad SlowMist, Yu Xian, realizó su propio análisis del movimiento de fondos del atacante y la actividad de las billeteras. Sus conclusiones difieren radicalmente de los datos de SecondFi. Según su estimación, las pérdidas reales de los usuarios podrían superar teóricamente los $20 millones. Además, rastreó dos direcciones presuntas del atacante y cree que el incidente podría estar relacionado con pérdidas de hasta 129 millones de ADA y otros tokens, lo que supera con creces los cálculos iniciales del propio proyecto.
La brecha de aproximadamente ocho veces entre las estimaciones del equipo y las de los expertos independientes sigue siendo significativa. Esto podría significar que parte de las billeteras comprometidas aún no han sido vaciadas, pero siguen siendo vulnerables. La situación se complica por el hecho de que SecondFi es un producto renombrado de Yoroi, desarrollado por la empresa EMURGO, una de las tres empresas fundadoras de Cardano. El cambio de marca ocurrió a principios de junio de 2026, por lo que el golpe reputacional del ataque se siente más fuerte que en incidentes con proyectos anónimos.
¿Qué deben hacer los usuarios?
El proyecto suspendió sus operaciones, entró en modo de mantenimiento y tomó una instantánea de los saldos de los usuarios. El equipo instó a todos los que crearon una billetera a través de su software a transferir inmediatamente los activos a billeteras de otros servicios. La investigación continúa, y se promete revelar la cantidad exacta de pérdidas después de completar una auditoría técnica con la participación de una empresa externa de seguridad blockchain.
Mi análisis: Este incidente es un recordatorio más de que incluso los productos probados con el tiempo y con una audiencia de millones no están exentos de vulnerabilidades críticas. La brecha en las estimaciones de daños es alarmante: si los datos de SlowMist son correctos, estamos ante uno de los mayores hackeos en el ecosistema de Cardano. Los usuarios deben actuar de inmediato, sin esperar los resultados oficiales de la auditoría.