Взлом SecondFi: 16 млн ADA утекли из-за критической уязвимости кошелька

El ecosistema de Cardano ha recibido un duro golpe a su reputación: la plataforma SecondFi, anteriormente conocida como Yoroi Wallet, sufrió un exploit que resultó en la extracción de aproximadamente 16 millones de ADA por parte de los atacantes. El incidente fue registrado el 23 de junio, tras lo cual el equipo del proyecto puso inmediatamente la plataforma en modo de mantenimiento seguro, bloqueando todas las operaciones de los usuarios a través de la interfaz.
Según mis datos, el ataque afectó a 374 direcciones. En el momento del incidente, el precio de ADA rondaba los $0,146, lo que sitúa las pérdidas en aproximadamente $2,4 millones. Sin embargo, esto es solo la punta del iceberg: el equipo de SecondFi declaró que las medidas de emergencia permitieron proteger los 129 millones de ADA restantes, que actualmente se están transfiriendo para su custodia a un custodio independiente y calificado. Esto indica que la magnitud de la catástrofe potencial era significativamente mayor.
Detalles del ataque: el problema a nivel de direcciones
Durante la investigación, se descubrió que la vulnerabilidad no reside en la propia blockchain de Cardano, sino en el módulo de la billetera responsable de la generación de claves privadas. Como señaló el CEO de Immunefi, Mitchell Amador, el software de SecondFi simplemente exponía las claves que él mismo creaba. Se trata de un defecto fundamental en la arquitectura de seguridad.
El equipo de SecondFi confirmó que el riesgo surge en el momento de firmar una transacción. Por ello, recomendaron encarecidamente a los usuarios no intentar recuperar la frase semilla en otras billeteras basadas en Cardano, ya que esto no resolvería el problema, sino que solo ampliaría la superficie de ataque. En total, se registraron cuatro eventos de retiro de fondos: tres realizados por los atacantes y un cuarto, presumiblemente, un movimiento de emergencia de 129 millones de ADA por parte del propio equipo para proteger los activos, aunque esto no se revela directamente.
Posición de IOG y EMURGO: ¿quién es el responsable?
El fundador de Cardano, Charles Hoskinson, se apresuró a distanciarse del incidente, afirmando que SecondFi no es un producto de Input Output Global (IOG). Enfatizó que IOG no tiene participación, control ni relaciones comerciales con esta plataforma. Sin embargo, es importante entender que detrás de SecondFi está EMURGO, uno de los tres cofundadores clave de la blockchain de Cardano, que se posiciona como el motor de la adopción comercial de la tecnología.
Este incidente vuelve a plantear la cuestión de la descentralización de la gobernanza en el ecosistema de Cardano. Formalmente, IOG y EMURGO son estructuras independientes, pero para la comunidad son parte de un "núcleo" unificado. El hecho de que Hoskinson llame a SecondFi "un producto de Microsoft" en relación con el "Apple" de IOG solo subraya la desunión y la falta de estándares de seguridad uniformes entre los actores clave.
Mi análisis: Este exploit no es simplemente un fallo técnico, sino una seria señal de alarma para toda la industria. La fuga de 16 millones de ADA debido a un error fundamental en la generación de claves es un fracaso a nivel de diseño básico del producto. Mientras los fundadores se echan la culpa unos a otros, los usuarios pierden fondos reales. Este caso debería servir como catalizador para revisar los estándares de auditoría de seguridad de las billeteras, especialmente aquellas que pretenden ser "principales" en sus ecosistemas.