El 24 de junio de 2026, la plataforma SecondFi confirmó la identificación de un fallo técnico en su software de generación de billeteras web en Cardano. El exploit de SecondFi expuso las claves privadas de múltiples usuarios durante el proceso de firma de transacciones en la red.
The platform remains in secure maintenance mode, and we have taken a full snapshot of balances as part of our response. This is being handled as a coordinated effort to protect the broader Cardano ecosystem.
We are working closely with the core pillars of our ecosystem:…
— SecondFi (@secondfiapp) June 23, 2026
La vulnerabilidad permitió el drenaje de fondos pertenecientes a los usuarios del monedero electrónico. La empresa estimó unos 16 millones de ADA comprometidos. El ataque afectó de forma directa a un total de 374 direcciones activas.
As per our previous post:https://t.co/rZanyrVGWN
We have identified the root cause and have since rolled out a patch for all unaffected wallets. This will allow us to resume normal operations soon.
—–
Regarding affected wallets, 4 distinct draining events occurred. 3 were…
— SecondFi (@secondfiapp) June 24, 2026
Ante el incidente de seguridad, la empresa ejecutó planes de contingencia urgentes. La administración técnica de la plataforma informó que aseguró 129 millones de ADA mediante salvaguardas internas destinadas a mitigar riesgos mayores y frenar el desvío de los activos digitales restantes.
Dichos fondos remanentes se transferirán a un custodio independiente de terceros. Los activos se mantendrán congelados bajo estrictas medidas de supervisión en beneficio de los usuarios afectados, cuya legitimidad será de forma obligatoria sometida a una verificación exhaustiva antes de cualquier restitución.
Detalles técnicos de la falla en Cardano
A pesar del impacto financiero directo, la empresa aún no ha publicado un informe detallado posterior a los hechos. Los comunicados iniciales sostienen de manera uniforme que la falla estructural se originó de forma exclusiva a nivel de dirección dentro de la arquitectura informática de su billetera web.
El director ejecutivo de la firma de seguridad Immunefi, Mitchell Amador, aclaró que la cadena de bloques subyacente de Cardano no sufrió alteraciones en su integridad. El especialista indicó que el código de generación de claves privadas constituye una infraestructura crítica que pocas veces recibe auditorías formales.
Amador señaló además que los atacantes informáticos están modificando sus estrategias operativas globales. El foco de los ataques se está desplazando desde los contratos inteligentes convencionales hacia los sistemas de software encargados de la creación y el almacenamiento seguro de las credenciales criptográficas de los monederos.
La firma de desarrollo de software aconsejó a sus clientes no restaurar las frases de recuperación existentes en otras aplicaciones de Cardano. Según el equipo técnico, esta acción de migración directa no elimina el peligro latente debido al origen estructural del fallo en el código del programa expuesto.
Independencia de Input Output Global
It's not an IOG product. We have nothing to do with SecondFi. We have no equity, control, ownership, or business relationship. You are literally asking Apple if they will take care of an issue from a Microsoft product
— Charles Hoskinson (@IOHK_Charles) June 23, 2026
El fundador de Input Output Global, Charles Hoskinson, aclaró la postura de su organización frente a esta brecha de seguridad. El desarrollador enfatizó en un video publicado en X que el producto afectado no pertenece ni se encuentra administrado por la entidad corporativa IOG.
Hoskinson remarcó la total ausencia de relaciones comerciales, control operativo o participación accionaria entre IOG y la billetera digital afectada. La aclaratoria busca trazar una línea clara entre el protocolo de consenso central de la cadena de bloques y los desarrollos de aplicaciones secundarias externas.
El equipo de respuesta ante incidentes globales de IOG estableció comunicación formal con el personal técnico de SecondFi el lunes 22 de junio de 2026. Tras los primeros contactos, la administración de la plataforma afectada solicitó la realización inmediata de una auditoría de seguridad independiente profunda.
El ejecutivo también manifestó que su firma no posee influencia ni capacidad de vocería sobre Emurgo, organización calificada como el brazo comercial de Cardano. IOG no participó en la redacción del código de software del monedero ni mantiene vínculos operativos con sus actualizaciones técnicas.
El origen de la plataforma afectada
SecondFi opera bajo un modelo de autocustodia en el ecosistema descentralizado de Cardano tras completar un proceso de rebranding de la billetera Yoroi en abril de 2026. Dicha transformación buscaba expandir los servicios de pagos on-chain, transacciones comerciales avanzadas y tarjetas de débito globales.
Yoroi fue concebida y desarrollada originalmente por la empresa Emurgo. La aplicación se introdujo formalmente en el mercado criptográfico como el primer monedero ligero de código abierto diseñado de forma específica para facilitar la interacción de los usuarios con el registro distribuido de Cardano.
El proceso de mitigación continúa en desarrollo minucioso por parte de las empresas de análisis forense digital y los investigadores de la cadena de bloques. El equipo de SecondFi no ha revelado el cronograma exacto para la publicación de su informe oficial pormenorizado ni los plazos de devolución.
Este artículo tiene fines informativos y no constituye asesoramiento financiero.
