-
Fallo en generación de claves privadas expuso wallets creadas con el software de SecondFi.
-
Usuario reportó pérdida de 998.000 ADA, sus ahorros de retiro acumulados en nueve años.
Un usuario identificado como Jacsam (@j3j30104) relató en X haber perdido 998.000 ADA —la totalidad de sus ahorros— tras nueve años holdeando la criptomoneda.
El testimonio de Jacsam refleja el alcance del exploit o vulnerabilidad que SecondFi confirmó el 23 de junio de 2026. Según la plataforma, un fallo en su software propietario de generación de wallets permitió a actores externos drenar fondos de 374 direcciones. Se registraron cuatro eventos de drenado distintos, de los cuales tres fueron ejecutados por atacantes externos.
Según su testimonio, la transacción que vació su wallet fue aprobada sin su conocimiento mientras utilizaba la aplicación móvil de SecondFi en un iPhone. El usuario señaló que depositó su confianza en la plataforma precisamente por su vínculo con EMURGO, la organización fundadora de Cardano.
En una serie de publicaciones, Jacsam describió haber destinado a ADA todos sus ingresos disponibles más allá de los gastos básicos durante años, con la intención de construir un fondo de retiro familiar. Cuestionó directamente a Cardano, Input Output (IOHK) y EMURGO sobre su responsabilidad en el incidente. SecondFi respondió a su reclamo derivándolo al portal de soporte.
SecondFi es el resultado del rebranding de Yoroi, la wallet ligera desarrollada por EMURGO que llegó a contar con más de un millón de usuarios de ADA. La plataforma relanzó su identidad en abril de 2026 como solución de neofinanzas con integración Visa para gasto, trading y ahorro.
Las pérdidas confirmadas y el alcance real del daño
Según la firma, las pérdidas directamente atribuibles a los atacantes ascienden a aproximadamente 16 millones de ADA. Como medida de emergencia, SecondFi trasladó cerca de 129 millones de ADA adicionales a un custodio externo independiente para protegerlos durante el ataque activo. La plataforma indicó que una firma de contabilidad externa realizará una auditoría para verificar de forma independiente esos fondos.
La firma de seguridad blockchain SlowMist realizó su propio análisis de los flujos de fondos del atacante y estimó que el daño total podría superar los USD 20 millones, incluyendo ADA y otros tokens. SlowMist identificó dos direcciones sospechosas vinculadas al exploit; la cifra definitiva quedará sujeta a la conclusión de la auditoría técnica contratada por SecondFi.
Charles Hoskinson, fundador de Cardano e Input Output (IOHK), calificó el hackeo como «la desafortunada realidad de las criptomonedas». Hoskinson reconoció que las pérdidas pueden parecer menores en comparación con otros exploits del sector, pero señaló que esa perspectiva no ofrece ningún consuelo a quienes perdieron la totalidad de sus fondos en ADA.
El riesgo persiste aunque el usuario migre su wallet
SecondFi precisó que la vulnerabilidad opera a nivel de dirección y se activa en el momento en que un usuario firma una transacción. Por esa razón, la plataforma advirtió explícitamente que restaurar la frase de recuperación en otra wallet de Cardano no elimina el riesgo. La firma indicó que ya desplegó un parche para las wallets no afectadas y que trabaja para reanudar operaciones normales.
Ante la proliferación de consejos contradictorios en redes sociales, SecondFi solicitó a los usuarios no tomar acciones hasta recibir instrucciones oficiales. La plataforma también alertó que nunca contactará a los usuarios por mensaje directo ni solicitará su frase semilla, en referencia a una ola de estafas de suplantación reportadas tras el incidente.
Los usuarios afectados deben presentar su reclamación en support.secondfi.io. SecondFi no ha divulgado un calendario de compensación ni un plan de reembolso; la hoja de ruta dependerá de los resultados de la revisión técnica independiente en curso. La comunidad exige que EMURGO asuma responsabilidad financiera por las pérdidas, una pregunta que la organización no ha respondido públicamente hasta el momento.
