Crypto news

24.06.2026
16:05

Ataque a SecondFi: 16 millones de ADA robados debido a una vulnerabilidad crítica en la generación de claves

hack

El 23 de junio, el equipo de SecondFi detectó una vulnerabilidad grave en su propia billetera en la blockchain de Cardano. La plataforma se puso inmediatamente en modo de mantenimiento seguro, lo que bloqueó temporalmente todas las operaciones de los usuarios. Los desarrolladores comenzaron una evaluación urgente del alcance del incidente.

Al día siguiente, el 24 de junio, se supo que los atacantes lograron retirar aproximadamente 16 millones de ADA desde 374 direcciones. Según mis cálculos, basados en el tipo de cambio de ADA de aproximadamente $0.146 en el momento del ataque, el daño directo ascendió a unos $2.4 millones. Sin embargo, como muestra la práctica, las pérdidas indirectas para la reputación del proyecto y la confianza de los usuarios pueden ser muchas veces mayores.

El equipo de SecondFi declaró que se activaron protocolos de protección de emergencia para evitar la pérdida total de los fondos. Los 129 millones de ADA restantes se trasladaron rápidamente a un custodio externo calificado e independiente. Estos fondos se mantienen en beneficio de las direcciones afectadas, pero el mecanismo para su devolución aún no se ha revelado.

Análisis detallado del incidente

Durante la investigación, se descubrió que la vulnerabilidad se encuentra a nivel de la dirección. El riesgo surge en el momento de firmar una transacción. Esto significa que simplemente mover los fondos a otra billetera o plataforma no elimina la amenaza. Por eso, SecondFi recomendó encarecidamente a los usuarios no restaurar la frase semilla en ninguna otra billetera basada en Cardano.

Según el equipo, se registraron cuatro eventos de retiro de fondos. Tres de ellos fueron acciones de los atacantes. El cuarto, presumiblemente, fue iniciado por el propio equipo para la protección de emergencia de los activos. No hay confirmación directa de esto, pero la lógica de respuesta de emergencia lo permite.

El CEO de Immunefi, Mitchell Amador, señaló la causa fundamental: el software de SecondFi exponía las claves privadas que él mismo generaba. El problema no radica en la blockchain de Cardano, sino en el módulo de la billetera responsable de la creación de claves. Este es un ejemplo clásico de un error a nivel de aplicación, no de protocolo.

Posición de los actores clave del ecosistema

El fundador de Cardano, Charles Hoskinson, se apresuró a distanciarse del incidente. Enfatizó que SecondFi no es un producto de Input Output Global (IOG) y que la empresa no tiene ninguna relación comercial con este proyecto. Hoskinson comparó la situación con acudir a Apple por un problema con un producto de Microsoft.

Sin embargo, es importante señalar que detrás de SecondFi (anteriormente conocida como Yoroi Wallet) está EMURGO, uno de los tres cofundadores de la blockchain de Cardano. EMURGO, en su documentación, se posiciona como una empresa que impulsa la adopción comercial de la tecnología. Este hecho crea una situación ambigua: formalmente, IOG no es responsable, pero un socio estratégico del ecosistema cometió un error crítico.

Mi análisis: Este incidente es un recordatorio más de que la seguridad en DeFi y las criptomonedas no solo depende de la solidez del protocolo, sino también de la calidad del código del software de aplicación. La filtración de claves privadas debido a un error en el generador es un defecto fatal que socava la confianza en todo el segmento. Mientras el ecosistema de Cardano muestra resiliencia a nivel de L1, incidentes como este a nivel de aplicaciones pueden ralentizar seriamente su adopción masiva. El mercado ya exige a los desarrolladores no solo funcionalidad, sino seguridad intransigente en todos los niveles de la pila tecnológica.