El hackeo de SecondFi en Cardano: la evaluación de los daños diverge en ocho veces — las pérdidas reales podrían superar los $20 millones
El ecosistema de Cardano se ha enfrentado a un grave incidente de seguridad. El proyecto SecondFi, anteriormente conocido como la popular billetera Yoroi, confirmó la existencia de una vulnerabilidad crítica en su propio software de generación de billeteras. Según datos preliminares del equipo, el daño directo se estima en aproximadamente 16 millones de ADA (alrededor de $2.4 millones), sin embargo, un análisis independiente señala consecuencias mucho más amplias.
El fundador de la empresa de seguridad SlowMist, Yu Xian, llevó a cabo su propia investigación y concluyó que las pérdidas reales de los usuarios podrían superar los $20 millones. El análisis del movimiento de fondos del atacante y la actividad de las billeteras comprometidas muestra que los activos en riesgo podrían ascender hasta 129 millones de ADA y otros tokens. Esto es casi ocho veces la estimación inicial del propio proyecto.
¿Cuál es la esencia de la vulnerabilidad y por qué es tan grande la discrepancia en las cifras?
El problema radica en el algoritmo de generación de claves privadas. El software interno de SecondFi creaba claves con una aleatoriedad predecible, lo que permitió al atacante calcularlas y obtener acceso a los fondos. Inicialmente se informó de 178 billeteras comprometidas, pero los datos de SlowMist indican que parte de las direcciones vulnerables aún no han sido vaciadas. Esto significa que la amenaza persiste para todos aquellos que crearon una billetera a través de este software, incluso si los fondos aún no han sido tocados.
Es importante entender el contexto: SecondFi es un Yoroi renombrado, una de las billeteras "ligeras" más antiguas y populares de Cardano, desarrollada por la empresa EMURGO, uno de los tres cofundadores de la blockchain. Fue utilizada por más de un millón de titulares de ADA. El cambio de marca ocurrió solo a principios de junio de 2026. Por lo tanto, el golpe reputacional para el proyecto, afiliado a actores clave del ecosistema, es mucho más grave que un ataque a un proyecto DeFi anónimo.
Acciones del proyecto y recomendaciones
SecondFi suspendió inmediatamente sus operaciones, entró en modo de mantenimiento y tomó una instantánea de los saldos de los usuarios. El equipo insta a todos los que crearon una billetera a través de su software a transferir sus activos a billeteras de otros servicios lo antes posible. La investigación continúa con la participación de auditores externos de seguridad blockchain. Prometen revelar la cantidad exacta de pérdidas una vez finalizada la auditoría técnica.
Mi análisis: Este incidente no es solo un hackeo más. Es una falla sistémica a nivel de la infraestructura fundamental de Cardano. Una vulnerabilidad en el código responsable de la generación de claves privadas es la peor pesadilla para cualquier blockchain. Socava la confianza en el propio principio del almacenamiento seguro. El hecho de que los expertos independientes evalúen el daño varias veces más que el propio proyecto indica una falta de exhaustividad en la investigación interna o un intento de mitigar el pánico inicial. En cualquier caso, este caso se convertirá en una prueba seria para Cardano y su comunidad sobre su capacidad para responder rápida y transparentemente a amenazas críticas.