El 23 de junio de 2026, SecondFi —la plataforma de billeteras Cardano anteriormente conocida como Yoroi— sufrió un exploit que permitió a atacantes drenar aproximadamente 16 millones de ADA de cientos de usuarios a través de una vulnerabilidad crítica en su software de generación de carteras web. Aunque Cardano en sí no fue afectado, SecondFi suspendió inmediatamente sus servicios, aseguró fondos adicionales y puso en marcha un proceso de reclamos verificados para las víctimas.
Este incidente destacó uno de los mayores riesgos para usuarios de criptomonedas: que una falla en el software de gestión de claves puede comprometer seguridad, aun cuando se sigan las mejores prácticas de autocustodia. Mientras la comunidad Cardano analiza el impacto y las respuestas, aumenta el énfasis en controles técnicos y revisiones independientes para plataformas de autocustodia.
Origen y características del fallo en SecondFi
La vulnerabilidad se originó en el software de generación de billeteras de SecondFi, el cual producía claves privadas con un nivel de aleatoriedad insuficiente y, por tanto, predecible. Esto permitió que tres actores externos —en el transcurso de cuatro sucesos distintos— pudieran extraer fondos de al menos 374 direcciones únicas (algunas fuentes citan un mínimo de 178 carteras afectadas). El robo principal consistió en unos 16 millones de ADA, equivalentes a unos 2,4 millones de dólares al momento del incidente, además de cantidades no especificadas de otros tokens y NFTs almacenados en las billeteras comprometidas.
- El exploit afectó exclusivamente a usuarios que crearon su billetera a través de la aplicación web vulnerable de SecondFi.
- No basta con mover una frase semilla a otra billetera para mitigar el riesgo: la exposición ocurre a nivel de dirección y se concreta cuando un usuario firma una transacción.
- El incidente es independiente de la seguridad de la blockchain de Cardano, que permaneció intacta y operativa durante todo el episodio.
La gravedad del fallo reside en que los atacantes pudieron obtener acceso a las claves y, por tanto, firmar transacciones en nombre de las víctimas sin requerir interacción adicional.
Medidas de emergencia y custodia temporal
Al detectar el ataque, SecondFi activó procedimientos de emergencia, que incluyeron:
- Suspensión de todos los servicios y entrada en modo mantenimiento.
- Toma de una instantánea de los saldos existentes para registro y posterior verificación.
- Transferencia urgente de aproximadamente 129 millones de ADA (más tokens y NFTs no cuantificados) a un custodio independiente, previniendo que los atacantes accedieran a estos fondos adicionales.
La medida de transferir activos a un tercero de confianza generó debate sobre los límites de una plataforma de autocustodia, ya que algunos usuarios se preguntaban cómo fue posible rescatar fondos de carteras que, en teoría, deberían estar únicamente bajo control de sus propietarios.
| Concepto | Monto / Cantidad | Estado |
| ADA robados | ~16 millones | No recuperados |
| ADA rescatados | 129 millones | Bajo custodia independiente |
| Direcciones comprometidas | 178 a 374 | Verificación en curso |
| Otros activos (tokens, NFTs) | No cuantificados | Pérdidas adicionales |
La firma de seguridad SlowMist advirtió que el impacto total podría exceder los 20 millones de dólares en pérdidas acumuladas una vez que concluya la auditoría externa.
Respuesta de SecondFi y proceso de recuperación
Tras contener el incidente, SecondFi desplegó una actualización de software que corrige la falla para nuevas carteras y exhortó a los usuarios a no restaurar sus frases de recuperación en otras billeteras, ya que la vulnerabilidad surge en la forma en que se generaron las claves originalmente. El equipo contrató a una firma contable externa para auditar los fondos bajo custodia y habilitó un proceso formal para que los afectados presenten reclamos de recuperación, que serán verificados antes de cualquier reembolso.
Además, SecondFi se comprometió a publicar los hallazgos de la investigación y detallar los planes de compensación en los próximos días, recomendando a la comunidad utilizar únicamente los canales oficiales para evitar fraudes adicionales durante el proceso de reclamación.
La reacción dentro de la comunidad Cardano fue inmediata, oscilando entre el enfado por lo ocurrido, el cuestionamiento sobre el proceso de rebranding de Yoroi a SecondFi y un reconocimiento a la rapidez con la que se implementaron las medidas de contingencia. Algunas voces especializadas sugieren que el incidente acelerará la migración hacia billeteras hardware y fomentará la exigencia de auditorías más rigurosas a los proveedores de software de autocustodia.
Lecciones e implicancias para el ecosistema cripto
El exploit de SecondFi evidencia vulnerabilidades específicas de la autocustodia digital: el usuario puede evitar phishing y proteger su semilla, pero no puede controlar la calidad criptográfica del software de generación de claves. De allí que la seguridad efectiva dependa tanto del código como del comportamiento individual.
Para desarrolladores, este evento refuerza la necesidad de auditorías periódicas, transparencia en la gestión de claves y respuestas de emergencia documentadas. Para los usuarios e inversores, subraya la importancia de informarse sobre los riesgos asociados a wallets web y considerar la utilización de hardware wallets cuando se manejan sumas significativas. Y para el ecosistema Cardano, el caso supone un llamado a reforzar estándares, promover prácticas de seguridad y mantener una comunicación clara ante incidentes críticos.
El proceso de recuperación y reclamos ya está operativo, aunque el éxito de las compensaciones dependerá de auditorías externas y la colaboración entre afectados y plataforma. Mientras tanto, la confianza del público hacia los monederos de software queda temporalmente afectada, y se espera una revalorización de los principios de autocustodia y auditoría técnica en toda la industria.
Para información actualizada y detalles sobre el proceso de reclamos, SecondFi recomienda consultar únicamente sus comunicados oficiales y plataformas verificadas. Más información y actualizaciones pueden encontrarse en DEXTools News y CoinDesk.