Por Canuto  

SecondFi, un proyecto del ecosistema Cardano, sufrió una grave brecha de seguridad vinculada a su propio software de generación de billeteras, en un incidente que podría superar USD $20 millones en pérdidas. El caso vuelve a poner bajo presión a ADA y reabre el debate sobre los riesgos de infraestructura construida sobre redes blockchain, incluso cuando el protocolo base no resulta comprometido.
***

  • SecondFi atribuyó el exploit a una vulnerabilidad en su software propietario de generación de billeteras, no al protocolo base de Cardano.
  • La estimación interna habla de cerca de ADA 16 millones perdidos, pero SlowMist elevó el posible impacto a más de ADA 129 millones más otros tokens.
  • Charles Hoskinson reconoció la gravedad del golpe para los usuarios afectados, mientras ADA seguía cerca de mínimos de cinco años.

 

Un nuevo golpe de seguridad para el ecosistema Cardano

SecondFi, un proyecto construido sobre Cardano, sufrió una brecha de seguridad de gran magnitud que podría traducirse en pérdidas superiores a USD $20 millones. El incidente quedó vinculado a una falla en su propio software de generación de billeteras.

De acuerdo con la información reportada por BeInCrypto y Yahoo Finance, las estimaciones de daño oscilan entre ADA 16 millones y más de ADA 129 millones. A esa suma se añaden otros tokens que estaban almacenados en las billeteras comprometidas.

Al 24 de junio, ADA cotizaba en USD $0,150237, con una caída diaria de 3,00%. A ese precio, la estimación más alta de ADA 129 millones equivale aproximadamente a USD $19,4 millones.

Yu Xian, fundador de SlowMist y conocido en la industria por el alias Cos, situó las pérdidas totales por encima de USD $20 millones. Esa lectura considera no solo ADA, sino también los activos no ADA que habrían pasado por direcciones ligadas al atacante.

El caso vuelve a poner el foco sobre los riesgos operativos en aplicaciones y herramientas del ecosistema cripto. En este tipo de episodios, el daño no siempre nace en la blockchain subyacente, sino en capas de software construidas encima.

Qué ocurrió en SecondFi y por qué Cardano no fue el punto de entrada

SecondFi indicó que rastreó la brecha hasta una vulnerabilidad en su software exclusivo de generación de billeteras. Esa falla habría permitido a los atacantes acceder a fondos a través de múltiples billeteras de usuarios.

Un punto central del incidente es que el protocolo base de Cardano no fue comprometido. La entrada del atacante se produjo en infraestructura desarrollada por el propio proyecto.

Para dimensionar el alcance, el equipo de SecondFi realizó un análisis en cadena con el fin de identificar las direcciones afectadas. Ese trabajo busca delimitar con precisión cuántos fondos quedaron expuestos y por dónde circularon.

Además, el proyecto señaló que ya trabaja con una firma independiente de seguridad blockchain en una revisión técnica. Ese examen externo será clave para reconstruir el vector de ataque y medir el daño final.

SecondFi ubicó su estimación interna en torno a ADA 16 millones perdidos. Sin embargo, el análisis de flujos y actividad de billeteras realizado por SlowMist sugiere que el impacto real podría ser considerablemente mayor.

Yu Xian afirmó que más de ADA 129 millones y otros tokens podrían haber pasado por direcciones vinculadas al atacante. Esa diferencia frente al cálculo preliminar de SecondFi deja abierta la posibilidad de un balance final más severo.

La discrepancia entre ambas cifras no es menor para usuarios e inversores. También revela que, en exploits complejos, la contabilidad inicial suele ajustarse a medida que avanzan los análisis forenses en cadena.

La diferencia entre la estimación de SecondFi y la lectura de SlowMist

La estimación de SecondFi y la de SlowMist no coinciden, y esa brecha numérica es uno de los puntos más delicados del caso. El proyecto habla de alrededor de ADA 16 millones, mientras que SlowMist detectó movimientos por encima de ADA 129 millones.

La diferencia podría explicarse por metodologías distintas al momento de rastrear fondos. Una lectura puede limitarse a pérdidas confirmadas, mientras otra incorpora direcciones relacionadas y movimientos sospechosos todavía bajo revisión.

Según la cobertura original, los tokens no ADA retenidos en las billeteras comprometidas empujan el monto total por encima de la propia estimación de SecondFi. Por eso Yu Xian elevó la cuenta agregada a más de USD $20 millones.

En términos prácticos, eso significa que el daño económico final sigue siendo una variable abierta. La revisión técnica independiente deberá establecer qué fondos fueron realmente drenados y cuáles solo transitaron por direcciones asociadas.

Este tipo de diferencias importa también desde la transparencia del proyecto. Los usuarios afectados necesitan saber no solo cuánto se perdió, sino qué metodología sostiene cada cálculo y qué probabilidades de recuperación existen.

Hasta ahora, SecondFi no ha divulgado un cronograma de reembolso ni un plan detallado de compensación. La ausencia de esa hoja de ruta añade incertidumbre en un momento de fuerte sensibilidad para la comunidad.

Un patrón más amplio de ataques a la infraestructura cripto en 2026

El exploit de SecondFi encaja en una tendencia más amplia de 2026, marcada por ataques a herramientas, puentes y capas de infraestructura. En estos casos, el problema no nace en la cadena principal, sino en servicios auxiliares que gestionan claves, accesos o transferencias.

A comienzos de este mes, la filtración de una clave privada en Humanity Protocol borró el 88% del valor de su token en solo 24 horas. Allí, el atacante obtuvo control a través de material de clave comprometido.

La explotación del puente Syscoin ofreció un patrón similar. Ese episodio mostró cómo las fallas a nivel de software pueden esquivar auditorías de seguridad estándar sin tocar directamente el protocolo subyacente.

La lección común entre estos casos es que una blockchain puede seguir funcionando como fue diseñada y, aun así, sus usuarios sufrir pérdidas severas. El cuello de botella suele aparecer en billeteras, puentes, interfaces o sistemas propietarios mal protegidos.

Para lectores menos familiarizados con el tema, conviene distinguir entre seguridad del protocolo y seguridad de la aplicación. Que Cardano no haya sido vulnerado no evita que una herramienta construida sobre esa red exponga fondos si su arquitectura presenta errores críticos.

Esa diferencia es importante porque evita diagnósticos simplistas sobre la red base. Al mismo tiempo, no reduce el impacto reputacional cuando el exploit ocurre dentro de un proyecto asociado al ecosistema.

Presión adicional sobre ADA y un ecosistema que busca recuperar impulso

El momento del ataque agrava una coyuntura ya compleja para Cardano. ADA se negocia cerca de mínimos de cinco años, en un entorno donde la confianza del mercado luce frágil.

Charles Hoskinson propuso recientemente un plan de rescate para Cardano. Sin embargo, la recepción entre los tenedores de ADA fue en general escéptica, según la información recogida en la nota original.

La brecha en SecondFi añade otra capa de dificultad para un ecosistema que intenta recuperar tracción. En especial, porque los incidentes de seguridad suelen afectar la percepción de riesgo mucho más allá del proyecto atacado.

Hoskinson reaccionó al caso y señaló que, aunque las pérdidas puedan parecer pequeñas frente a otros exploits del sector, eso no ofrece consuelo a quienes resultaron afectados. Su comentario puso el énfasis en la dimensión humana del daño.

También remarcó que algunos usuarios pudieron haber perdido todas sus tenencias de ADA. Según su evaluación, esa es una realidad desafortunada pero recurrente dentro de la industria cripto.

La presión reputacional puede sentirse en varios frentes al mismo tiempo. Inversores, desarrolladores y proveedores de liquidez suelen mirar con más cautela a un ecosistema cuando se encadenan dudas técnicas y precios deprimidos.

El impacto sobre el desarrollo de Cardano y las dudas que siguen abiertas

El exploit ocurrió apenas un día después del lanzamiento de la testnet Leios Musashi Dojo en Cardano. Ese detalle vuelve más incómodo el contraste entre el avance técnico de la red y los problemas de seguridad en proyectos de su entorno.

Los primeros datos de actividad en la red mostraban pocas señales de un incremento significativo del uso on-chain. En ese contexto, la brecha podría complicar aún más la tarea de atraer nuevos desarrolladores y liquidez.

Para cualquier ecosistema blockchain, el crecimiento depende de una combinación delicada entre narrativa tecnológica, seguridad y actividad económica real. Un incidente como este golpea justamente esos tres frentes a la vez.

SecondFi no ha comunicado cuándo podría reanudar operaciones de forma segura. Tampoco ha detallado qué fondos serían recuperables o qué modificaciones concretas deberá introducir en su infraestructura de billeteras.

La revisión técnica en curso deberá responder esas preguntas antes de cualquier relanzamiento. Ese proceso también será determinante para establecer responsabilidades y recuperar, al menos en parte, la confianza de los usuarios.

Por ahora, la principal conclusión es que el caso SecondFi no apunta a una falla del protocolo Cardano, pero sí exhibe debilidades serias en herramientas construidas sobre la red. En un mercado que ya castiga la incertidumbre, esa distinción técnica puede no bastar para contener el daño reputacional inmediato.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados