SecondFi (anteriormente Yoroi) detiene sus servicios tras un fallo en la cartera de Cardano que drena fondos de usuarios: 2,4 millones de dólares confirmados, hasta 20 millones de dólares en riesgo

SecondFi, la plataforma de autocustodia de Cardano que es el relanzamiento de la veterana cartera Yoroi construida por EMURGO, ha detenido sus servicios tras un incidente de seguridad que drenó fondos de usuarios. Según la divulgación del proyecto el 23 de junio de 2026 y los informes de Crypto Briefing, Crypto Times y crypto.news, la raíz del problema no fue un error en un contrato inteligente, sino algo más fundamental: el software que generaba las carteras producía claves privadas con una aleatoriedad predecible, lo que permitió a los atacantes acceder a las claves de los usuarios afectados.

SecondFi ha pausado las funciones afectadas, ha entrado en modo de mantenimiento, ha tomado una instantánea del saldo y ha instado a los usuarios a mover sus fondos. Las cifras asociadas al incidente varían ampliamente según quién las cuente, y esa brecha es lo más importante a entender.

Pérdidas confirmadas frente a la advertencia del peor escenario

La evaluación preliminar de SecondFi es la cifra conservadora: aproximadamente 178 carteras comprometidas y alrededor de 16 millones de ADA, valorados en unos 2,4 millones de dólares en ese momento, drenados, junto con una cantidad no especificada de tokens y NFTs. La actividad sospechosa se agrupó en aproximadamente 200 transacciones alrededor del 21 y 22 de junio de 2026.

La firma de seguridad blockchain SlowMist, cuyo fundador se conoce como Cos, publicó una cifra mucho mayor. Rastreado los movimientos del atacante durante la noche, SlowMist estimó que las pérdidas potenciales totales podrían superar los 20 millones de dólares, posiblemente hasta 129 millones de ADA. La palabra clave es potencial. Esa cifra es una estimación de riesgo que cubre las carteras creadas con el software defectuoso que aún no han sido drenadas, no fondos robados confirmados, y no ha sido respaldada por SecondFi, que dice que la pérdida exacta se revelará después de una auditoría técnica independiente. El planteamiento honesto es un drenaje confirmado de aproximadamente 2,4 millones de dólares y una exposición en el peor de los casos, según SlowMist, superior a los 20 millones.

Por qué un fallo en la generación de claves es tan peligroso

La mayoría de los exploits de DeFi atacan un contrato inteligente. Este atacó algo subyacente. Toda la seguridad de una cartera de criptomonedas se basa en que la clave privada se genere a partir de una aleatoriedad genuinamente impredecible, para que nadie pueda adivinarla o reproducirla. Según SecondFi y SlowMist, el software de generación de carteras web nativas de Cardano de la plataforma utilizó una aleatoriedad predecible, lo que significa que las claves que produjo también lo eran. Si un atacante puede modelar cómo se generaron las claves, cada cartera creada con ese software queda expuesta a la vez, sin necesidad de phishing o trucos de contrato. SecondFi afirmó que el problema se limitaba a la generación de su cartera web nativa de Cardano. Esta explicación es la causa declarada por el proyecto y SlowMist y aún está pendiente de una auditoría independiente.

Este es el patrón de ataque DeFi que define 2026

El incidente de SecondFi es un ejemplo de libro de texto de dónde provienen realmente las pérdidas de DeFi este año. A lo largo de 2026, el robo de claves, el robo de credenciales y el compromiso de acceso han superado a los errores de contratos inteligentes como la causa dominante de las pérdidas de DeFi, con varios rastreadores atribuyendo una gran mayoría del valor robado a esa categoría en lugar de a un código defectuoso. Hemos cubierto la escala de esto en nuestro resumen de los mayores hacks de DeFi de 2026, donde los incidentes más grandes provinieron de infraestructuras comprometidas en lugar de contratos con errores. Un generador de números aleatorios débil debajo de una cartera es la misma lección en un lugar diferente: el código que guarda tus claves importa tanto como los contratos con los que interactúas.

También ocurre en un escenario pequeño. El sector DeFi de Cardano es modesto, con un valor total bloqueado en el rango aproximado de 130 a 142 millones de dólares en 2026 según datos derivados de DeFiLlama, lo que lo sitúa muy por debajo de las 20 principales cadenas. Según nuestros propios cálculos rápidos frente a ese rango, incluso la pérdida confirmada de 2,4 millones de dólares es una porción significativa del DeFi de Cardano, y un peor escenario de 20 millones de dólares sería una gran parte de él, mientras que la misma cantidad apenas se registraría frente a las decenas de miles de millones de Ethereum.

Qué deben hacer los usuarios afectados

Si creó una cartera de Cardano a través de SecondFi o el flujo web anterior de Yoroi, la suposición segura es que la cartera puede estar comprometida, independientemente de si ya ha sido afectada. Siga la guía oficial de SecondFi, genere una cartera completamente nueva utilizando software de confianza y bien auditado, y mueva cualquier fondo restante a ella tan pronto como sea posible. No importe la antigua frase de recuperación a la nueva cartera, ya que la debilidad reside en cómo se creó esa frase. Tenga cuidado con cualquiera que ofrezca una herramienta de recuperación o reembolso, porque los falsos ayudantes suelen aparecer después de incidentes como este. Nuestra guía sobre los pasos inmediatos a seguir cuando una cartera está comprometida detalla el proceso, y antes de moverse a cualquier nuevo token puede verificar su contrato con el Token Safety Checker de DEXTools. Este artículo es solo informativo y no constituye asesoramiento financiero.