EMURGO anuncia la devolución de fondos a las víctimas del hackeo de SecondFi: los pagos comenzarán en dos semanas.
La situación en torno a la billetera SecondFi, anteriormente conocida como Yoroi, comienza a aclararse. El CEO de EMURGO, Phillip Pon, declaró oficialmente que la empresa ha encontrado una solución técnica para devolver los fondos a los usuarios afectados. Según sus palabras, los pagos están previstos para comenzar aproximadamente en dos semanas: la primera semana el equipo la dedicará al desarrollo del mecanismo de devolución, y la segunda, a sus exhaustivas pruebas.
Recordemos que el exploit afectó a 374 direcciones, desde las cuales se retiraron alrededor de 16 millones de ADA. En el momento del incidente (21-23 de junio), esta cantidad se estimaba en aproximadamente $2,4 millones. Sin embargo, resultó ser solo una parte de la historia. Durante el ataque, los atacantes actuaron en tres etapas, y en un cuarto episodio, el equipo de SecondFi transfirió de emergencia alrededor de 129 millones de ADA a un custodio independiente para aislar los activos. Estos fondos están siendo actualmente verificados por una firma de auditoría externa.
Trasfondo técnico: no es la reutilización del nonce, sino un error de firma
Merece especial atención el informe independiente de Tibane Labs. Contrariamente a las suposiciones iniciales, los analistas de la empresa concluyeron que la raíz del problema no radica en la reutilización del número nonce, sino en un error crítico en la firma Ed25519. Según sus datos, el 8 de junio, un SDK trantor no auditado, publicado en npm por un desarrollador independiente, reemplazó el módulo de firma verificado de EMURGO que se usaba anteriormente. Esto significa que para recuperar la clave privada, los atacantes solo necesitaban un único mensaje firmado.
Es notable que EMURGO aún no ha publicado un post-mortem técnico completo ni ha respondido públicamente a las conclusiones de Tibane Labs. Esto genera preguntas en la comunidad, considerando que SecondFi (Yoroi) ha sido durante mucho tiempo una de las billeteras principales en el ecosistema de Cardano, y la propia EMURGO es una de las tres organizaciones fundadoras de la red.
Medidas de precaución y estado actual
SecondFi insta encarecidamente a los usuarios a no transferir activos hasta que reciban instrucciones oficiales y advierte sobre una ola de mensajes fraudulentos. El servicio enfatiza que nunca solicita claves privadas, frases semilla ni acceso a las billeteras. Hasta el momento, se conocen dos billeteras de los atacantes: una está vinculada a 171 direcciones comprometidas, y la segunda, a 203. Alrededor de 4 millones de ADA relacionados con el robo se encuentran en una dirección de recolección marcada y permanecen bajo vigilancia.
Este incidente es un recordatorio más de lo frágil que puede ser la seguridad incluso en ecosistemas maduros. El hackeo de SecondFi ocurrió en medio de un récord negativo para la industria cripto en el segundo trimestre de 2026: 83 incidentes con un daño total de $755,3 millones. Personalmente, creo que la falta de un post-mortem transparente por parte de EMURGO es una señal grave para los tenedores de ADA. Los inversores deben seguir de cerca la evolución de los acontecimientos, especialmente cómo la empresa reconstruirá la confianza tras este golpe a su reputación.