SecondFi vinculó el exploit de su billetera de Cardano a un fallo a nivel de dirección

Una vulnerabilidad en la billetera SecondFi, basada en Cardano, permitió que atacantes drenaran fondos de los usuarios, provocando pérdidas significativas.

SecondFi confirmó el miércoles que había identificado la causa raíz del exploit y que actualmente está colaborando con plataformas del ecosistema Cardano e investigadores de blockchain para abordar el incidente.

La empresa también indicó que activó medidas de emergencia que permitieron asegurar aproximadamente 129 millones de ADA, los cuales están siendo transferidos a un custodio independiente de terceros y serán mantenidos para los usuarios afectados mientras se completa el proceso de verificación.

La plataforma estimó el martes que alrededor de 16 millones de ADA, equivalentes a USD 2,4 millones, se vieron afectados en 374 direcciones.

El fundador de Cardano, Charles Hoskinson, afirmó que SecondFi no es un producto de Input Output Global (IOG) y enfatizó que no existe ninguna relación de propiedad, control o negocio entre la billetera e IOG.

SecondFi atribuye el exploit a un problema a nivel de dirección

Hasta el momento de la publicación, SecondFi no había divulgado un informe post mortem completo, pero emitió varios comunicados confirmando que la brecha de seguridad fue causada por una vulnerabilidad en el software de generación de su billetera web para Cardano.

La compañía señaló que la causa raíz del incidente fue un problema a nivel de dirección que afecta a los usuarios cuando firman transacciones.

Fuente: SecondFi

"El software de la billetera de SecondFi expuso las claves privadas que generaba", declaró Mitchell Amador, CEO de la empresa de seguridad Immunefi, a Cointelegraph.

Amador explicó que, si bien la blockchain permaneció segura, el código que genera las claves es "la parte que nadie audita como si fuera un contrato inteligente". Añadió que los atacantes han desplazado cada vez más su atención hacia la infraestructura que crea o almacena claves de criptomonedas, en lugar de centrarse en los protocolos blockchain.

"Migrar a otra plataforma o billetera no mitiga el riesgo", afirmó SecondFi, aconsejando a los usuarios que no restauren sus frases de recuperación en nuevas billeteras de Cardano. Esta recomendación difirió de la de algunos miembros de la comunidad, quienes instaron a los usuarios a migrar las billeteras afectadas y transferir los fondos a nuevas direcciones.

"Nosotros no escribimos el código", dice Hoskinson

SecondFi es una plataforma de autocustodia construida sobre Cardano que cambió de marca desde la billetera Yoroi en abril de 2026. Yoroi fue desarrollada por Emurgo, que se describe a sí misma como el "brazo con fines de lucro de Cardano", y fue lanzada como la primera billetera ligera de código abierto para la blockchain de Cardano.

Hoskinson afirmó que el equipo de respuesta a incidentes de IOG ha estado en contacto con SecondFi desde el lunes y que la plataforma solicitó una auditoría de seguridad independiente.

Fuente: Charles Hoskinson

En un video publicado el martes en X, Hoskinson enfatizó que IOG "no es Emurgo" y añadió que la compañía no tiene influencia sobre Emurgo ni puede pronunciarse en su nombre respecto al exploit.

"No escribimos el código y no estamos conectados con él", afirmó.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.