El hackeo del monedero SecondFi en Cardano: 16 millones de ADA robados, las medidas de emergencia no lograron salvar todos los activos

El 23 de junio, el equipo de SecondFi detectó una vulnerabilidad crítica en su billetera en la blockchain de Cardano. La plataforma se puso inmediatamente en modo de mantenimiento seguro, lo que bloqueó temporalmente todas las operaciones de los usuarios a través de la interfaz. Los desarrolladores comenzaron a analizar el alcance del incidente.
Al día siguiente, el 24 de junio, se supo que los atacantes habían logrado retirar aproximadamente 16 millones de ADA desde 374 direcciones. Según mis estimaciones, basadas en el precio actual de ADA de alrededor de $0,146, el monto del daño asciende a aproximadamente $2,4 millones. Sin embargo, resultó que esto no era el límite: el equipo de SecondFi anunció la implementación de medidas de emergencia para proteger los 129 millones de ADA restantes, que fueron enviados para su custodia a un custodio calificado independiente. Estos fondos se distribuirán entre las direcciones afectadas.
Detalles del exploit y reacción del ecosistema
SecondFi colabora activamente con actores clave del ecosistema Cardano, incluidos Input Output Global (IOG), Cardano Foundation, Intersect y SundaeSwap. La causa del incidente ya ha sido identificada y se ha publicado una corrección para las billeteras no afectadas. Es importante señalar que la vulnerabilidad se encuentra a nivel de dirección y se manifiesta al firmar una transacción. Esto significa que simplemente restaurar la frase semilla en otra billetera de Cardano no resolverá el problema: los riesgos persisten.
El análisis de la cadena muestra que se realizaron cuatro eventos de retiro de fondos. Tres de ellos fueron obra de los atacantes, y el cuarto probablemente esté relacionado con el movimiento de 129 millones de ADA por parte del propio equipo para protegerlos. No ha habido confirmación directa de SecondFi al respecto, pero la lógica sugiere este escenario.
El CEO de Immunefi, Mitchell Amador, señaló la raíz del problema: el software del proyecto expuso las claves privadas que él mismo generaba. Este es un caso clásico de vulnerabilidad a nivel del módulo de generación de claves, no de la propia blockchain de Cardano. Esto subraya que el ataque se dirigió específicamente a la infraestructura de SecondFi, no al protocolo.
Posición de IOG y EMURGO
El fundador de Cardano, Charles Hoskinson, se apresuró a distanciarse del incidente, afirmando que SecondFi no es un producto de IOG. Destacó que la empresa no tiene participación, control ni relaciones comerciales con este proyecto. Sin embargo, cabe recordar que detrás de SecondFi (anteriormente conocido como Yoroi Wallet) está EMURGO, uno de los tres cofundadores clave de la blockchain de Cardano. EMURGO se posiciona como el motor de la adopción comercial de la tecnología, y este incidente arroja una sombra sobre todo el ecosistema, a pesar de los intentos de Hoskinson de desvincularse.
Hoskinson también señaló que IOG no escribió el código para SecondFi y no es responsable del mismo. Esto es lógico, pero para la comunidad de Cardano, que se basa en principios de descentralización y confianza, incidentes como este son un duro golpe a la reputación. Recordemos que en noviembre de 2025 ya hubo un caso en el que una billetera "inactiva" de Cardano perdió accidentalmente $6,05 millones al intercambiar 14,4 millones de ADA a través de un pool ilíquido. Anteriormente, el detective on-chain ZachXBT calificó el modelo de funcionamiento de Cardano como un "esquema de enriquecimiento de personas internas".
Mi opinión experta: Este hackeo no es un error de la blockchain, sino una negligencia directa del equipo de SecondFi, que permitió la filtración de claves privadas a nivel de su propio software. Para Cardano, esto es una señal de alerta: los problemas de seguridad a nivel de aplicaciones, especialmente tan importantes como las billeteras, pueden socavar la confianza de los usuarios en todo el ecosistema. El mercado ya ha reaccionado con una caída, y restaurar la confianza requerirá que EMURGO no solo elimine la vulnerabilidad, sino también realice una auditoría transparente de todos sus productos.