Explotación de SecondFi en Cardano: 16 millones de ADA robados, el ecosistema en tensión
El 23 de junio, el equipo de SecondFi anunció una vulnerabilidad crítica en su billetera en la blockchain de Cardano, poniendo inmediatamente la plataforma en modo de mantenimiento seguro. Los usuarios perdieron temporalmente la capacidad de realizar transacciones a través de la interfaz mientras los desarrolladores evaluaban la magnitud del incidente. Al día siguiente, el 24 de junio, se supo del robo de aproximadamente 16 millones de ADA desde 374 direcciones. Según mis estimaciones, basadas en el precio de ADA de alrededor de $0.146 en el momento del ataque, el daño asciende a aproximadamente $2.4 millones.
Medidas de emergencia y causa raíz
Para evitar la pérdida total de activos, el equipo de SecondFi activó protocolos de protección de emergencia. Se informó que se conservaron alrededor de 129 millones de ADA, que se están enviando a un custodio externo independiente y calificado en beneficio de las direcciones afectadas. Durante la investigación, se descubrió que la vulnerabilidad se encuentra a nivel de las direcciones y está relacionada con el proceso de firma de transacciones. Esto significa que simplemente restaurar la frase semilla en otra billetera basada en Cardano no elimina el riesgo: los atacantes podrían haber comprometido la propia generación de claves privadas. SecondFi lanzó una corrección para las billeteras que no se vieron afectadas y recomendó a todos los usuarios que se abstuvieran de restaurar el acceso a través de aplicaciones de terceros.
Reacción del ecosistema y postura de IOG
El incidente provocó una ola de declaraciones de actores clave de Cardano. El CEO de Immunefi, Mitchell Amador, señaló que el problema radica exclusivamente en el software de SecondFi, no en la blockchain de Cardano. El fundador de Cardano, Charles Hoskinson, se apresuró a distanciar a Input Output Global (IOG) del incidente, enfatizando que la empresa no tiene ninguna relación con SecondFi — ni participación, ni control, ni vínculos comerciales. Es notable que detrás de SecondFi (anteriormente conocido como Yoroi Wallet) se encuentra EMURGO, uno de los cofundadores del ecosistema Cardano. Esto crea un precedente interesante: formalmente, IOG y EMURGO son estructuras independientes, pero para la comunidad son pilares de un mismo ecosistema.
Análisis y conclusiones
Este caso no es solo un exploit más, sino una señal grave para toda la industria de las billeteras de autocustodia. Un hackeo a nivel de generación de claves socava el propio concepto de «no tus llaves, no tus monedas». Mientras SecondFi trabaja en la recuperación de los fondos, el ecosistema de Cardano atraviesa un momento de prueba de resistencia. Recordemos que anteriormente el detective on-chain ZachXBT ya había criticado el modelo de funcionamiento de Cardano, calificándolo de «esquema de enriquecimiento de internos». Este incidente solo aviva el fuego de los debates sobre seguridad y descentralización. Mi consejo profesional: verifique siempre el origen y la auditoría del código de las billeteras, especialmente aquellas que generan claves, no solo las almacenan. El mercado no perdona la negligencia.