Crypto news

24.06.2026
17:04

Explotación de SecondFi: 16 millones de ADA filtrados debido a una vulnerabilidad en la generación de claves

hack

El 23 de junio, el equipo de SecondFi anunció un problema crítico de seguridad en su billetera en la blockchain de Cardano, poniendo inmediatamente la plataforma en modo de mantenimiento seguro. Los usuarios perdieron temporalmente la capacidad de realizar operaciones a través de la interfaz mientras los desarrolladores evaluaban la magnitud de la fuga.

Ya al día siguiente, el 24 de junio, SecondFi confirmó que los atacantes retiraron aproximadamente 16 millones de ADA desde 374 direcciones. Basándose en el tipo de cambio de ADA de alrededor de $0,146 en el momento del incidente, el daño se estima en aproximadamente $2,4 millones.

Medidas de emergencia y naturaleza de la vulnerabilidad

Para evitar la pérdida total de fondos, el equipo de SecondFi activó protocolos de protección de emergencia. «Se tomaron medidas para proteger los 129 millones de ADA disponibles. Estos fondos se están enviando a un custodio externo calificado e independiente, donde se almacenan en beneficio de las direcciones afectadas», declararon los representantes del proyecto.

El análisis mostró que durante el incidente ocurrieron cuatro eventos de retiro de fondos. Tres de ellos fueron realizados por los atacantes, y el cuarto probablemente esté relacionado con el movimiento de los mencionados 129 millones de ADA por parte del propio equipo para proteger los activos. Es notable que SecondFi no reveló directamente los detalles de este movimiento.

El CEO de Immunefi, Mitchell Amador, señaló que el problema radica en el software del propio proyecto: este exponía las claves privadas que él mismo generaba. Por lo tanto, la vulnerabilidad no afectó a la blockchain de Cardano, sino al módulo de la billetera responsable de la creación de claves. Es por esto que SecondFi recomendó encarecidamente a los usuarios no restaurar la frase semilla en otras billeteras basadas en Cardano: el riesgo persiste.

Posición de IOG y reacción del fundador

El fundador de Cardano, Charles Hoskinson, se apresuró a distanciarse del incidente. En su declaración enfatizó: «No tenemos ninguna relación con SecondFi. No tenemos participación, control, propiedad ni relaciones comerciales. Es como preguntarle a Apple si resolverán un problema con un producto de Microsoft». También señaló que IOG no escribió el código para SecondFi ni está vinculada a él.

Es importante destacar que detrás de SecondFi (anteriormente conocida como Yoroi Wallet) está EMURGO, uno de los actores clave en el ecosistema de Cardano. En su documentación, EMURGO se describe a sí mismo como cofundador de la blockchain, que impulsa la adopción comercial de la tecnología. Sin embargo, Hoskinson dejó claro que IOG no controla a EMURGO ni puede hablar en su nombre.

Este incidente vuelve a plantear preguntas sobre la seguridad en el sector DeFi. En mi opinión, la principal lección aquí es que incluso proyectos respetados detrás de soluciones de infraestructura pueden cometer errores fatales a nivel de código. Los usuarios de Cardano deben estar especialmente atentos y verificar la fiabilidad de las billeteras que utilizan, especialmente si generan claves. Mientras los fundadores se lavan las manos, la responsabilidad por la seguridad de los activos sigue recayendo en el usuario final.