Explotación crítica de SecondFi: Hackers retiraron 16 millones de ADA, el equipo bloquea de emergencia 129 millones

El 23 de junio de 2026, la plataforma SecondFi, anteriormente conocida como Yoroi Wallet y desarrollada por EMURGO, enfrentó una grave vulnerabilidad en su billetera en la blockchain de Cardano. El equipo inmediatamente puso la plataforma en modo de mantenimiento seguro, bloqueando temporalmente todas las operaciones a través de la interfaz para evaluar el alcance del ataque.
Ya el 24 de junio, SecondFi confirmó que los atacantes obtuvieron acceso a 374 direcciones y retiraron aproximadamente 16 millones de ADA. Al tipo de cambio actual de alrededor de $0,146 por token, el daño directo se estima en $2,4 millones. Sin embargo, como muestran los datos, esto es solo parte de la historia.
Medidas de emergencia y revelación de la vulnerabilidad
En respuesta al exploit activo, el equipo de SecondFi lanzó un protocolo de protección de emergencia. Lograron mover con éxito los 129 millones de ADA restantes a un custodio calificado independiente, evitando la pérdida total de los fondos. «Los fondos se almacenan en beneficio de las direcciones afectadas», declararon los desarrolladores, enfatizando que trabajan en estrecha coordinación con actores clave del ecosistema Cardano: IOG, Cardano Foundation, Intersect y SundaeSwap.
El análisis mostró que se registraron cuatro eventos de retiro de fondos. Tres de ellos fueron acciones de los hackers, mientras que el cuarto probablemente fue iniciado por el propio equipo para mover los 129 millones de ADA. La causa del incidente ya se ha encontrado y se ha lanzado un parche para las billeteras no afectadas. La vulnerabilidad crítica se encuentra a nivel de dirección: el riesgo surge en el momento de firmar la transacción. Esto significa que simplemente restaurar la frase semilla en otra billetera de Cardano no elimina la amenaza. SecondFi recomienda encarecidamente a los usuarios no restaurar la frase semilla en billeteras de terceros hasta nuevas instrucciones.
Opinión de expertos y posición de IOG
El CEO de Immunefi, Mitchell Amador, señaló directamente un error de software: el software de SecondFi exponía las claves privadas que él mismo generaba. El problema radica exclusivamente en el módulo de la billetera, no en la blockchain de Cardano en sí.
El fundador de Cardano, Charles Hoskinson, se apresuró a distanciar a su empresa IOG del incidente. «Esto no es un producto de IOG. No tenemos participación, control, propiedad ni relaciones comerciales con SecondFi», declaró, comparando la situación con un problema de un producto de Microsoft por el cual Apple no es responsable. Hoskinson enfatizó que IOG no escribió este código ni está vinculada a él, aunque detrás de SecondFi está EMURGO, uno de los cofundadores de Cardano responsable de la implementación comercial.
Mi análisis: Este incidente es un claro ejemplo de cómo incluso dentro de un mismo ecosistema pueden surgir rupturas fundamentales en la seguridad. El intento de Hoskinson de desvincularse del problema, aunque EMURGO es un actor clave, crea un precedente peligroso. Los usuarios de Cardano deberían reconsiderar sus riesgos al usar billeteras de terceros, incluso si están afiliadas a los fundadores de la red. Mientras SecondFi lucha con las consecuencias, la confianza en el ecosistema recibe un duro golpe.