Crypto news

25.06.2026
07:24

Explotación de SecondFi en Cardano: fuga de 16 millones de ADA y crisis de confianza en la billetera

hack

El 23 de junio, el equipo de SecondFi anunció una vulnerabilidad crítica en su billetera en la blockchain de Cardano, poniendo inmediatamente la plataforma en modo de mantenimiento seguro. Los usuarios perdieron temporalmente la capacidad de realizar operaciones a través de la interfaz mientras los desarrolladores evaluaban el alcance del incidente.

Al día siguiente, el 24 de junio, SecondFi confirmó: los atacantes retiraron aproximadamente 16 millones de ADA desde 374 direcciones. El daño, según mis cálculos, ascendió a unos 2,4 millones de dólares con un tipo de cambio de ADA de aproximadamente 0,146 dólares en el momento del ataque. Esto supone un duro golpe para la reputación del proyecto, que se posicionaba como una herramienta fiable para trabajar con Cardano.

Medidas de emergencia y magnitud del problema

Para evitar la pérdida total de fondos, el equipo de SecondFi activó protocolos de emergencia, protegiendo los 129 millones de ADA disponibles. Según declararon los desarrolladores, estos fondos se están enviando a un custodio externo cualificado e independiente para su custodia en beneficio de las direcciones afectadas. Sin embargo, la situación sigue siendo tensa: se registraron cuatro eventos de retiro de fondos. Tres de ellos fueron acciones de los hackers, y el cuarto probablemente esté relacionado con el movimiento de aproximadamente 129 millones de ADA por parte del propio equipo para proteger los activos. No hubo confirmación directa de esto por parte de SecondFi.

Mitchell Amador, director ejecutivo de Immunefi, señaló la raíz del problema: el software del proyecto expuso las claves privadas que él mismo generaba. Esto indica un defecto fundamental en el módulo de creación de claves, no en la propia blockchain de Cardano. Por lo tanto, SecondFi recomendó encarecidamente a los usuarios no restaurar la frase semilla en otras billeteras basadas en Cardano: el riesgo persiste.

Reacción del ecosistema y postura de IOG

Charles Hoskinson, fundador de Cardano, se apresuró a distanciar a Input Output Global (IOG) del incidente. Declaró que SecondFi no es un producto de IOG, y que la empresa no tiene participación, control ni relaciones comerciales con este proyecto. "Nosotros no escribimos este código ni estamos vinculados a él", subrayó Hoskinson. Recordemos que detrás de SecondFi (anteriormente Yoroi Wallet) está EMURGO, uno de los actores clave en el ecosistema de Cardano, que se describe a sí mismo como cofundador de la blockchain. Sin embargo, Hoskinson dejó claro que IOG no controla a EMURGO y no puede hablar en su nombre.

Este incidente plantea serias preguntas sobre la seguridad de las billeteras, incluso aquellas respaldadas por grandes actores del ecosistema. Anteriormente, en noviembre de 2025, ya vimos cómo una billetera "dormida" de Cardano perdió accidentalmente 6,05 millones de dólares debido a un pool ilíquido. Y el detective on-chain ZachXBT había calificado anteriormente el modelo de funcionamiento de Cardano como un "esquema de enriquecimiento de información privilegiada". Ahora nos enfrentamos a un compromiso directo de claves privadas.

Mi análisis: Este exploit no es solo un fallo técnico, sino una señal de riesgos sistémicos en la gestión de claves en plataformas que pretenden ser la "próxima generación" de DeFi. Mientras SecondFi y EMURGO lidian con las consecuencias, la confianza de los usuarios en las billeteras de Cardano se ha visto socavada. El mercado estará atento a la rapidez y transparencia con que se devuelvan los fondos y a los cambios de seguridad que se implementen. Por ahora, recomiendo extremar la precaución al usar cualquier billetera no auditada.