La plataforma de autocustodia SecondFi, basada en Cardano, ha revelado que el reciente exploit que afectó a su cartera digital se originó por un defecto en el proceso de creación de direcciones. Tras el incidente, la compañía logró rescatar aproximadamente 129 millones de ADA, mientras que los atacantes sustrajeron fondos de 374 cuentas.
Detalles del incidente y medidas de emergencia
SecondFi confirmó el miércoles que había identificado la causa raíz de la vulnerabilidad y que está trabajando en conjunto con actores del ecosistema Cardano y especialistas en seguridad blockchain para resolver la situación. La empresa activó protocolos de emergencia que permitieron asegurar cerca de 129 millones de ADA, los cuales están siendo transferidos a un custodio externo independiente y serán retenidos para los usuarios afectados mientras se completa el proceso de verificación.
Inicialmente, la plataforma estimó que alrededor de 16 millones de ADA, equivalentes a unos 2,4 millones de dólares, se vieron comprometidos en 374 direcciones. Charles Hoskinson, fundador de Cardano, aclaró que SecondFi no es un producto de Input Output Global (IOG) y subrayó que no existe ninguna relación de propiedad, control o negocio entre la cartera e IOG.
Origen del exploit y advertencias a los usuarios
SecondFi no ha publicado todavía un informe forense completo, pero ha emitido varios comunicados confirmando que la brecha fue provocada por un fallo en el software de generación de su cartera web para Cardano. La compañía señaló que el problema estaba relacionado con un error a nivel de dirección que afecta a los usuarios cuando firman transacciones.
Mitchell Amador, CEO de la firma de seguridad Immunefi, explicó a Cointelegraph que "el software de la cartera de SecondFi exponía las claves privadas que generaba". Amador destacó que, aunque la blockchain permaneció segura, el código que genera las claves es "la parte que nadie audita como si fuera un contrato inteligente". Añadió que los atacantes han desplazado cada vez más su atención hacia la infraestructura que crea o almacena claves de criptomonedas, en lugar de centrarse en los protocolos blockchain.
SecondFi recomendó a los usuarios no restaurar sus frases de recuperación en nuevas carteras Cardano, indicando que "migrar a otra plataforma o cartera no mitiga el riesgo". Esta recomendación contrastó con la de algunos miembros de la comunidad, que instaban a los usuarios a migrar las carteras afectadas y transferir los fondos a nuevas direcciones.
La postura de Hoskinson y el contexto de SecondFi
SecondFi es una plataforma de autocustodia construida sobre Cardano que cambió de marca desde la cartera Yoroi en abril de 2026. Yoroi fue desarrollada por Emurgo, que se describe a sí misma como el "brazo con fines de lucro de Cardano", y fue lanzada como la primera cartera ligera de código abierto para la blockchain de Cardano.
Hoskinson afirmó que el equipo de respuesta a incidentes de IOG ha estado en contacto con SecondFi desde el lunes y que la plataforma solicitó una auditoría de seguridad independiente. En un video publicado el martes, Hoskinson enfatizó que IOG "no es Emurgo" y añadió que la compañía no tiene influencia sobre Emurgo ni puede pronunciarse en su nombre respecto al exploit. "No escribimos el código y no estamos conectados con él", afirmó.