Exploit de generación de claves del wallet SecondFi
Un fallo de aleatoriedad predecible en el software de generación de wallets de SecondFi en Cardano permitió robar unos 2,4 M USD en ADA de 178 wallets, con hasta 20 M USD más en riesgo.
- Fecha
- Víctima
- SecondFi (formerly Yoroi)
- Cadena(s)
- Estado
- Fondos robados
El 23 de junio de 2026, SecondFi — el wallet de autocustodia de Cardano antes conocido como Yoroi — reveló que un fallo en su propio software de generación de wallets había permitido a los atacantes drenar unos 2,4 millones de dólares en ADA de 178 wallets de usuarios, mientras que la firma de seguridad SlowMist advirtió que en última instancia podrían estar en riesgo hasta 129 millones de ADA (más de 20 millones de dólares). El protocolo base de Cardano no quedó comprometido; la debilidad residía por completo en el software cliente de SecondFi.
Qué ocurrió
La causa raíz fue la aleatoriedad predecible en el software que crea nuevas wallets y sus claves privadas. Como la rutina de generación de claves no extraía suficiente entropía, las claves privadas resultantes eran adivinables — lo que significa que toda wallet producida por esa versión del software está potencialmente comprometida, incluidas las cuentas que aún no han sido drenadas. Los atacantes barrieron ADA, tokens nativos y NFT de las cuentas afectadas; los rastreadores en cadena identificaron unas 178 wallets drenadas, con actividad sospechosa concentrada en la ventana del 21–22 de junio antes de la divulgación pública del 23 de junio. La pérdida confirmada se sitúa cerca de los 2,4 millones de dólares, pero SecondFi advirtió que la cifra oficial es un suelo, no un techo, a la espera de una revisión independiente.
Consecuencias
SecondFi suspendió de inmediato sus servicios y entró en modo de mantenimiento, tomó una instantánea de los saldos de los usuarios para congelar un registro de las tenencias, e instó a los usuarios a mover los fondos fuera de cualquier wallet generada por el software afectado. El equipo dijo que está finalizando una revisión técnica con una destacada firma de seguridad blockchain y que se coordina con actores clave de Cardano — Input Output Global (IOG), la Cardano Foundation, IntersectMBO y SundaeSwap — para gestionar las consecuencias. No se ha anunciado un calendario de reembolsos y no se habían recuperado fondos en el momento de la divulgación.
Por qué importa
La generación débil de claves es uno de los modos de fallo más catastróficos en cripto porque rompe todas las wallets a la vez, no solo a una víctima. El incidente recuerda al exploit de Profanity de Wintermute, donde un generador predecible de direcciones vanity permitió a un atacante recalcular una clave privada y robar 160 M USD, y llega el mismo mes que el fallo de manejo de claves en Humanity Protocol. Para un wallet de consumo ampliamente usado, una única fuente de entropía defectuosa convierte la comodidad de la autocustodia en un riesgo sistémico — y subraya por qué la aleatoriedad determinista y bien auditada es innegociable en cualquier herramienta que genere claves privadas.
Fuentes y evidencia on-chain
- [01]coindesk.comhttps://www.coindesk.com/business/2026/06/24/secondfi-loses-usd2-4-million-in-cardano-wallet-exploit-with-up-to-usd20-million-at-risk
- [02]cryptobriefing.comhttps://cryptobriefing.com/secondfi-exploit-drains-cardano-users/
- [03]cryptobriefing.comhttps://cryptobriefing.com/secondfi-wallet-vulnerability-cardano-drain/
- [04]en.cryptonomist.chhttps://en.cryptonomist.ch/2026/06/24/secondfi-cardano-exploit-losses/
- [05]cryptotimes.iohttps://www.cryptotimes.io/2026/06/24/cardano-project-secondfi-halts-services-as-hack-estimates-hit-20m/