SecondFi rastrea el exploit de la wallet de Cardano hasta un fallo a nivel de dirección: 16 millones de ADA comprometidos

La plataforma de auto-custodia SecondFi, anteriormente conocida como Yoroi, confirmó que un exploit comprometió aproximadamente 16 millones de ADA (unos 2,4 millones de dólares) en 374 direcciones de usuarios. La compañía identificó la causa raíz como una vulnerabilidad en su software de generación de wallets, descrita como un «fallo a nivel de dirección» que exponía las claves privadas. Como medida de emergencia, SecondFi aseguró otros 129 millones de ADA, que serán transferidos a un custodio externo para los usuarios afectados. Charles Hoskinson, fundador de Cardano, aclaró que SecondFi no es un producto de Input Output Global (IOG) y que no existe relación comercial entre ambas entidades.

El origen del ataque: un fallo en la generación de claves

SecondFi confirmó el miércoles haber identificado la causa raíz del exploit, atribuyéndolo a una vulnerabilidad en su software de generación de wallets web. La compañía describió el problema como un «fallo a nivel de dirección» que afecta a los usuarios al firmar transacciones.

Mitchell Amador, CEO de Immunefi, explicó que el software de SecondFi exponía las claves privadas que generaba. «Aunque la blockchain de Cardano permanece segura, la atención de los atacantes se ha desplazado hacia la infraestructura que crea o almacena claves criptográficas», señaló Amador. El ejecutivo destacó que esta área «a menudo no se audita con la misma profundidad que los contratos inteligentes».

Respuesta de emergencia y cuantificación de las pérdidas

SecondFi activó medidas de emergencia que lograron asegurar aproximadamente 129 millones de ADA. Estos fondos están siendo transferidos a un custodio externo independiente y se mantendrán para los usuarios afectados mientras se completa el proceso de verificación. El martes, la plataforma había estimado que alrededor de 16 millones de ADA (equivalentes a 2,4 millones de dólares en ese momento) estaban comprometidos, distribuidos en 374 direcciones.

La compañía advirtió que «la recuperación a otra plataforma o wallet no mitiga el riesgo» y recomendó a los usuarios no restaurar sus frases de recuperación en nuevas wallets de Cardano. Esta postura contrasta con los consejos de algunos miembros de la comunidad que sugerían migrar las wallets afectadas a direcciones recién creadas.

«Nosotros no escribimos el código», dice Charles Hoskinson

En un vídeo publicado el martes en X, Charles Hoskinson enfatizó que IOG «no es Emurgo» y que la empresa no tiene control ni puede hablar en su nombre sobre el exploit. «Nosotros no escribimos el código y no estamos conectados a él», afirmó Hoskinson, dejando claro que SecondFi no es un producto de IOG.

Hoskinson confirmó que el equipo de respuesta a incidentes de IOG ha estado en contacto con SecondFi desde el lunes y que la plataforma solicitó una auditoría de seguridad independiente. SecondFi es una plataforma de auto-custodia construida sobre Cardano, que cambió su nombre desde la wallet Yoroi en abril de 2022. Yoroi fue desarrollada originalmente por Emurgo, descrito como el «brazo con fines de lucro de Cardano».

Implicaciones para la seguridad en el ecosistema Cardano

El incidente subraya la creciente tendencia de los atacantes a centrarse en la infraestructura de almacenamiento y generación de claves, en lugar de en los protocolos de blockchain en sí, según lo indicado por el CEO de Immunefi. La confusión inicial sobre la relación entre SecondFi, Emurgo e IOG resalta la importancia de la claridad en la gobernanza y la propiedad del código dentro de los ecosistemas blockchain.

El artículo «AI models led to a ‘vulnerability apocalypse’ in crypto security: Immunefi CEO«, publicado anteriormente, profundiza en la tendencia de seguridad que Mitchell Amador ha identificado en el sector criptográfico.