Un exploit en el software cerrado de la billetera SecondFi provoca el drenado de 2.4 millones de dólares en ADA.
El monedero digital desarrollado por EMURGO sufrió la filtración de claves privadas en más de 300 direcciones de la red Cardano. El incidente provocó la pérdida de 16 millones de ADA y reavivó los cuestionamientos sobre los riesgos técnicos del código propietario.
El proveedor de servicios Web3 SecondFi, conocido anteriormente en el ecosistema como Yoroi, confirmó el 24 de junio de 2026 una vulnerabilidad crítica dentro de su infraestructura de generación de billeteras web.
De acuerdo con los reportes de la entidad fundadora EMURGO, el fallo de seguridad residía de manera exclusiva en su software propietario de código cerrado. Esta falla técnica comprometía de forma directa las claves privadas de los usuarios durante los procesos de generación de cuentas y firma de transacciones a nivel de dirección.
El exploit se ejecutó a través de tres oleadas sucesivas de ataques que impactaron a un aproximado de 374 direcciones individuales. Como consecuencia inmediata, los atacantes lograron drenar un estimado de 16 millones de tokens ADA, cifra que equivale a cerca de 2.4 millones de dólares al momento de concretarse el incidente. El equipo de desarrollo se apresuró a aclarar que la red principal de Cardano se mantuvo segura y sin alteración alguna, limitando el problema enteramente al cliente del monedero afectado.
Contención rápida y fondos bajo resguardo
Tras la detección de los retiros no autorizados, el equipo de ingeniería de SecondFi reaccionó de manera acelerada colocando la aplicación en modo de mantenimiento preventivo para desplegar un parche de seguridad urgente. En un esfuerzo coordinado para mitigar el impacto, los desarrolladores implementaron medidas de rescate de tipo “white-hat”, logrando poner a salvo un remanente de 129 millones de ADA que se encontraban en riesgo inminente dentro de la plataforma.
Estos activos recuperados de emergencia han sido transferidos temporalmente a la custodia de terceros para ser sometidos a rigurosas auditorías técnicas independientes. La compañía informó que iniciará un proceso formal de devoluciones para los usuarios damnificados, quienes deberán canalizar sus reclamaciones a través de los canales oficiales habilitados en su portal de soporte oficial.
La noticia de la vulnerabilidad generó una presión de venta inmediata en los mercados de criptoactivos, provocando una fuerte caída en la cotización de la moneda nativa de Cardano. El precio de ADA experimentó un retroceso profundo que lo llevó a tocar niveles mínimos que no se registraban desde el año 2020, un movimiento financiero agudizado por las condiciones bajistas imperantes en el entorno cripto global.
Ante la gravedad del acontecimiento, Charles Hoskinson, fundador de la cadena de bloques de Cardano, se pronunció públicamente señalando que este suceso representa “el lado duro de las criptos”. Sus declaraciones reflejan el sentir de una comunidad que exige estándares de control de daños y auditorías más estrictas a los proveedores de infraestructura de la red.
Lecciones sobre la custodia y código cerrado
Este incidente reabre con fuerza el debate histórico dentro del ecosistema cripto respecto a las ventajas de transparencia que ofrecen los monederos de código abierto frente a las soluciones de código cerrado. Las arquitecturas propietarias dificultan que la comunidad identifique fallas críticas antes de que estas sean explotadas por agentes maliciosos en la red.
A futuro, la adopción de herramientas Web3 dependerá de la capacidad de las empresas para demostrar que sus plataformas son seguras y auditables públicamente.
Por el momento, se aconseja a los usuarios afectados abstenerse de restaurar sus frases de recuperación en otros monederos hasta que se determine el alcance definitivo de la brecha a nivel de dirección, priorizando el uso de billeteras de hardware para salvaguardar sus activos.