Vulnerabilidad crítica de SecondFi en Cardano: las pérdidas reales podrían superar los $20 millones
La ecosistema de Cardano se ha enfrentado a un grave incidente de seguridad. El proyecto SecondFi, la billetera Yoroi renombrada, ha reconocido que se descubrió una vulnerabilidad en su propio software de generación de billeteras. Según los datos preliminares del equipo, el daño directo asciende a aproximadamente 16 millones de ADA (unos $2,4 millones), sin embargo, mi análisis independiente y los datos de expertos en seguridad indican que las pérdidas reales podrían ser significativamente mayores, superando los $20 millones.
La investigación mostró que la brecha consistía en una generación predecible de claves privadas. El software interno de SecondFi creaba claves con una entropía insuficiente, lo que permitió a un atacante calcularlas y acceder a los fondos de los usuarios. Inicialmente se informó de 178 billeteras comprometidas, pero esto es solo la punta del iceberg.
Discrepancia en las estimaciones: por qué $20 millones es una previsión conservadora
Los principales especialistas en seguridad blockchain, incluido el fundador de SlowMist, han llevado a cabo su propia investigación. El análisis del movimiento de fondos y la actividad de direcciones sospechosas muestra que podrían estar en riesgo activos por valor de hasta 129 millones de ADA y otros tokens. Esto es ocho veces superior a la estimación del propio proyecto.
Esta discrepancia se explica porque parte de las billeteras comprometidas aún no han sido vaciadas. El atacante probablemente actúa de forma selectiva, o espera a que las víctimas recarguen sus cuentas. Esto significa que la amenaza persiste, y cada usuario que haya creado una billetera a través de SecondFi está en riesgo.
Magnitud de la amenaza y qué deben hacer los usuarios
SecondFi no es un proyecto DeFi anónimo, sino un producto renombrado de Yoroi, desarrollado por EMURGO, una de las tres empresas fundadoras de Cardano. Más de un millón de titulares de ADA lo han utilizado. El golpe reputacional para el ecosistema es colosal. El proyecto ha suspendido sus operaciones, ha entrado en modo de mantenimiento y ha realizado una instantánea de los saldos. El equipo insta a todos los que hayan creado una billetera a través de su software a transferir inmediatamente los activos a billeteras de otros servicios.
La cantidad exacta de pérdidas se revelará tras la finalización de una auditoría técnica independiente, pero ya está claro: este incidente es una llamada de atención seria para toda la industria. Las vulnerabilidades en el código de generación de claves son un problema fundamental que socava la confianza en el propio principio de autocustodia.
Mi opinión experta: Este hackeo no es solo un fallo técnico, sino un error sistémico en el enfoque de la seguridad. Los usuarios de Cardano y otras blockchains deberían reconsiderar sus hábitos: nunca confíen la generación de claves a una sola fuente, especialmente si se trata de una billetera "ligera" de un gran desarrollador. La diversificación y el uso de billeteras hardware siguen siendo el estándar de oro de la seguridad. El mercado recordará esta lección durante mucho tiempo.