El hackeo de SecondFi en el ecosistema Cardano: el daño real podría superar los $20 millones
El proyecto SecondFi, un actor clave en la infraestructura de Cardano, se ha enfrentado a un grave incidente de seguridad. La evaluación inicial del equipo indica una pérdida de aproximadamente 16 millones de ADA (unos $2,4 millones), sin embargo, un análisis independiente realizado por expertos en seguridad blockchain muestra que el daño real podría ser significativamente mayor, de hasta $20 millones o más.
Naturaleza de la vulnerabilidad
La raíz del problema radica en el software propio de SecondFi para la generación de billeteras. La investigación reveló una brecha crítica: el algoritmo utilizado creaba claves privadas con una aleatoriedad predecible. Esto significa que un atacante, tras analizar el mecanismo de generación, podría calcular las claves de cualquier billetera creada a través de este software. Preliminarmente, alrededor de 178 billeteras se vieron comprometidas.
Discrepancia en las estimaciones: ¿$2,4 millones o $20 millones?
El equipo de SecondFi estima las pérdidas en 16 millones de ADA, pero los expertos de SlowMist, tras analizar el movimiento de fondos, llegaron a otras conclusiones. Según sus datos, el incidente podría estar relacionado con pérdidas de hasta 129 millones de ADA y otros tokens. La brecha en las estimaciones, casi ocho veces mayor, sugiere que parte de las billeteras comprometidas aún no han sido vaciadas, pero siguen siendo vulnerables. De hecho, estamos observando una situación en la que una "bomba de tiempo" sigue activa.
Consecuencias para el ecosistema
SecondFi es un producto renombrado de Yoroi, una de las billeteras "ligeras" más populares de Cardano, desarrollada por la empresa EMURGO. Con más de un millón de usuarios, este incidente asesta un golpe reputacional que se siente mucho más fuerte que el hackeo de un proyecto DeFi anónimo. Es un impacto directo en la confianza hacia la infraestructura de la propia blockchain.
Actualmente, SecondFi ha suspendido sus operaciones y ha entrado en modo de mantenimiento. El equipo ha tomado una instantánea de los saldos e insta a todos los usuarios que crearon una billetera a través de su software a transferir inmediatamente sus activos a otros servicios. La cantidad exacta de las pérdidas se revelará después de completar la auditoría técnica.
Opinión del experto
Este caso es un duro recordatorio de que incluso los proyectos respetados y con larga trayectoria no están exentos de errores fatales en su código base. El incidente con SecondFi socava la confianza en toda una clase de billeteras "ligeras" y subraya la importancia crítica de utilizar soluciones de hardware y almacenamiento en frío para cantidades significativas. El mercado observará atentamente cómo EMURGO restaura la reputación de su producto.