Crypto news

24.06.2026
15:49

Explotación de SecondFi: 16 millones de ADA filtrados debido a una vulnerabilidad fatal en la generación de claves

hack

El 23 de junio, la plataforma SecondFi, especializada en soluciones DeFi para la blockchain Cardano, se vio obligada a poner sus servicios en modo de mantenimiento seguro de emergencia. La causa fue una vulnerabilidad crítica en la billetera del proyecto, que provocó una fuga masiva de fondos. Los desarrolladores bloquearon inmediatamente las operaciones de los usuarios para evaluar la magnitud del desastre y evitar un mayor vaciamiento de las billeteras.

Magnitud y mecanismo del ataque

Ya al día siguiente, el 24 de junio, el equipo de SecondFi confirmó los peores temores: los atacantes comprometieron con éxito 374 direcciones y retiraron de ellas aproximadamente 16 millones de ADA. Al tipo de cambio actual, que en el momento del incidente era de aproximadamente $0,146 por token, el daño se estima en $2,4 millones. Es importante destacar que esto es solo la "punta del iceberg": el ataque podría haber sido mucho más destructivo.

Como se descubrió durante la investigación, la vulnerabilidad no se encontraba a nivel de la blockchain de Cardano, sino directamente en el módulo de generación de claves privadas de la billetera de SecondFi. En esencia, el software del proyecto "revelaba" estas claves, haciéndolas accesibles para los atacantes en el momento en que el usuario firmaba una transacción. Esto explica por qué un simple cambio de plataforma o la restauración de la frase semilla en otra billetera no habría solucionado el problema: el peligro estaba inherente en la propia arquitectura de la aplicación.

Medidas de emergencia y rescate de 129 millones de ADA

En respuesta al ataque activo, el equipo de SecondFi tomó medidas sin precedentes. Para evitar la pérdida total de liquidez, trasladaron manualmente 129 millones de ADA a la dirección de un custodio calificado independiente. Estos fondos están seguros y están destinados a su posterior distribución entre los usuarios afectados. En total, se registraron cuatro grandes eventos de retiro de fondos: tres de ellos fueron obra de los hackers, y el cuarto fue una operación del propio equipo para rescatar los activos.

Reacción del ecosistema y postura de IOG

El incidente provocó una ola de tensión en la comunidad de Cardano. El fundador de la blockchain, Charles Hoskinson, y su empresa Input Output Global (IOG) se apresuraron a distanciarse de lo ocurrido. Hoskinson declaró directamente que SecondFi no es un producto de IOG, que no tienen "ni participación, ni control, ni relaciones comerciales". Comparó la situación con pedirle a Apple que resuelva un problema con un producto de Microsoft. Sin embargo, cabe señalar que SecondFi (anteriormente conocido como Yoroi Wallet) pertenece a la empresa EMURGO, que se posiciona como uno de los cofundadores del ecosistema Cardano.

Opinión del experto: Este incidente es un claro ejemplo de cómo un error fundamental en la arquitectura de seguridad de una sola aplicación puede socavar la confianza en toda la blockchain, incluso si el protocolo Cardano en sí no fue hackeado. Para la comunidad, esto es una llamada de atención: la reputación de la red se construye no solo sobre la confiabilidad de la capa base, sino también sobre la calidad del software que funciona sobre ella. Recuperar la confianza después de una fuga de este tipo puede llevar meses, y esta es una lección para todos los proyectos DeFi que ahorran en la auditoría del código de generación de claves.