Crypto news

24.06.2026
16:48

Взлом SecondFi: 16 миллионов ADA украдены из-за критической уязвимости кошелька

hack

El ecosistema de Cardano se enfrentó a un grave incidente de seguridad. El 23 de junio, el equipo de SecondFi, anteriormente conocido como Yoroi Wallet, anunció un problema en su billetera y puso inmediatamente la plataforma en modo de mantenimiento seguro. Los usuarios perdieron temporalmente la capacidad de realizar transacciones a través de la interfaz mientras los desarrolladores evaluaban la magnitud de los daños.

Al día siguiente, el 24 de junio, SecondFi confirmó: los atacantes retiraron aproximadamente 16 millones de ADA desde 374 direcciones. Según mis cálculos, basados en un tipo de cambio de ADA de alrededor de $0,146 en el momento del ataque, el daño asciende a aproximadamente $2,4 millones. Esto supone un duro golpe para la confianza en la plataforma, que se posicionaba como una de las herramientas clave para las finanzas autocustodiales en Cardano.

El equipo de SecondFi declaró que, gracias a las medidas de emergencia, se lograron proteger los 129 millones de ADA restantes. Estos fondos se están transfiriendo actualmente a un custodio externo independiente y cualificado para su custodia en beneficio de las direcciones afectadas. Sin embargo, la cuestión clave es cómo ocurrió exactamente la fuga.

Naturaleza de la vulnerabilidad: un problema a nivel de direcciones

Según se ha descubierto, el problema no reside en la propia blockchain de Cardano, sino en el módulo de generación de claves de la billetera SecondFi. El CEO de Immunefi, Mitchell Amador, explicó que el software del proyecto exponía las claves privadas que él mismo generaba. Esto significa que cualquier usuario que hubiera firmado una transacción podría haber sido comprometido.

Por eso SecondFi recomendó encarecidamente no restaurar la frase semilla en otras billeteras basadas en Cardano: el riesgo persiste hasta que se elimine la raíz del problema. En total, se registraron cuatro eventos de retiro de fondos: tres por parte de los atacantes y uno, probablemente, del propio equipo para proteger los activos.

Posición de IOG y Charles Hoskinson

El fundador de Cardano, Charles Hoskinson, se apresuró a distanciarse del incidente. En su declaración, subrayó que SecondFi no es un producto de Input Output Global (IOG). "No tenemos ninguna relación con SecondFi. No tenemos participación, control, propiedad ni relaciones comerciales", declaró Hoskinson, comparando la situación con acudir a Apple por un problema con un producto de Microsoft.

Sin embargo, cabe señalar que detrás de SecondFi está EMURGO, uno de los cofundadores de la blockchain Cardano, que se describe a sí misma como una empresa que impulsa la adopción comercial de la tecnología. Por lo tanto, aunque IOG formalmente no es responsable, el incidente arroja una sombra sobre todo el ecosistema.

Mi evaluación profesional: este hackeo es otra señal de alarma para la industria. Una vulnerabilidad a nivel de generación de claves es un defecto fundamental que podría repetirse en otros proyectos. Los usuarios deberían reconsiderar sus enfoques de seguridad y, posiblemente, evitar billeteras con código cerrado o una arquitectura insuficientemente auditada. Cardano es, sin duda, una blockchain sólida, pero incidentes como este socavan la confianza incluso en los ecosistemas más fiables.