EMURGO inicia el proceso de reembolso para las víctimas del hackeo de SecondFi: plazos y detalles
EMURGO, una de las organizaciones fundadoras clave del ecosistema de Cardano, ha anunciado el inicio del proceso de devolución de fondos a los usuarios de la billetera SecondFi afectados por un exploit masivo. El director ejecutivo de la empresa, Phillip Pon, confirmó que el mecanismo de compensación ya está desarrollado y que los primeros pagos comenzarán aproximadamente en dos semanas. Según el análisis on-chain, el incidente afectó a 374 direcciones, de las cuales se retiraron alrededor de 16 millones de ADA.
Para la próxima semana, el equipo tiene prevista la implementación técnica del mecanismo de devolución, seguida de una semana de pruebas exhaustivas. Se recomienda encarecidamente a los usuarios de SecondFi que no realicen ninguna operación con sus activos hasta que reciban instrucciones oficiales. Se enfatiza especialmente que el servicio nunca solicita claves privadas, frases semilla ni acceso a las billeteras; cualquier mensaje de este tipo es fraudulento.
Cronología del ataque y magnitud de los daños
Según el equipo de SecondFi, entre el 21 y el 23 de junio se produjeron cuatro incidentes de retiro no autorizado de fondos. En tres casos, atacantes externos retiraron alrededor de 16 millones de ADA (aproximadamente $2.4 millones en el momento del ataque) desde 374 direcciones. En el cuarto episodio, el equipo transfirió de emergencia alrededor de 129 millones de ADA a un custodio independiente para aislar los activos de futuros ataques. La verificación de la seguridad de estos fondos está siendo realizada por una firma de auditoría externa.
SecondFi también identificó dos billeteras de los atacantes: una vinculada a 171 direcciones comprometidas y la segunda a 203. Alrededor de 4 millones de ADA relacionados con el robo se encuentran en una dirección de recolección marcada y permanecen bajo vigilancia. Las autoridades policiales ya han sido notificadas del incidente.
Detalles técnicos: versión de Tibane Labs
La empresa Tibane Labs llevó a cabo una investigación independiente por separado. Según su informe, la raíz del problema no radica en la reutilización de nonces, sino en una vulnerabilidad relacionada con un error de firma Ed25519. Tibane Labs afirma que el 8 de junio, un SDK trantor no auditado, publicado en el registro npm por un desarrollador independiente, reemplazó el módulo de firma verificado previamente utilizado por EMURGO. Según la evaluación de los expertos, para recuperar la clave privada bastaba con una sola transacción firmada.
Cabe destacar que EMURGO aún no ha publicado un post-mortem técnico completo del incidente ni ha respondido públicamente a las conclusiones de Tibane Labs. La billetera SecondFi (conocida como Yoroi hasta abril) ha sido durante mucho tiempo una de las herramientas principales en el ecosistema de Cardano, lo que hace que este incidente sea particularmente doloroso para la comunidad.
Mi comentario profesional: La situación en torno a SecondFi es un claro ejemplo de cómo incluso proyectos respetados con una larga trayectoria pueden ser vulnerables a vectores de ataque inesperados. La falta de un post-mortem público y el silencio en respuesta al detallado informe de Tibane Labs plantean interrogantes. Los usuarios de Cardano deberían prestar atención a las conclusiones de los expertos independientes y, en el futuro, dar prioridad a la auditoría de los SDK utilizados, especialmente los de desarrolladores externos. Restaurar la confianza después de un incidente de este tipo requerirá de EMURGO no solo una compensación financiera, sino también la máxima transparencia.