Imagina esto: te despiertas, abres tu wallet de Cardano y el saldo que verificaste anoche ya no está. No fue un ataque de polvo. No fue un clic por error. Simplemente estaba vacío. Esa fue la realidad para cientos de usuarios de SecondFi durante un largo fin de semana de junio.
A mitad de semana, un error de generación de wallets se había convertido en algo más grande: una historia de seguridad de frases semilla. La gente asumió que importar su frase a otra aplicación les protegería. No fue así. La exposición permaneció a nivel de dirección y volvió en el momento en que una dirección afectada firmó cualquier cosa.
SecondFi y EMURGO pasaron a modo de triaje. Los datos on-chain empezaron a dibujar un panorama más claro y comenzó a correr el reloj de la recuperación.
SecondFi divulgó una vulnerabilidad de generación de monederos de Cardano después de drenajes coordinados entre el 21 de junio y el 23 de junio de 2026. Los conteos iniciales apuntaban a aproximadamente 16 millones de ADA tomados de 374 direcciones en tres drenajes principales, según el reporte inicial de CoinDesk. Esa fue la primera pasada. Las pericias ampliaron el lente.
Los fallos en monederos rompen la confianza rápidamente. El manejo de la semilla decide si una mala semana se convierte en un mal año.
La reconstrucción de Bitquery identificó dos oleadas y una gran dirección de consolidación, con un cofre de la segunda oleada que al 23 de junio tenía 129,430,001 ADA. Su trabajo también registró aproximadamente 3,072 monederos-víctima barridos a través de ambas oleadas, muy por encima de la primera estimación de direcciones afectadas. Consulta el desglose on-chain de Bitquery.
Aquí está el punto clave de Bitquery y SecondFi: el fallo era a nivel de dirección. Importar una frase de recuperación afectada en otro monedero de Cardano no eliminó el riesgo. El riesgo apareció cuando una dirección afectada firmó una transacción en cualquier momento, según la advertencia conjunta recogida en el informe de Bitquery y las actualizaciones de SecondFi (Bitquery / SecondFi).
¿Qué salió mal realmente en los monederos de SecondFi?
SecondFi se ha referido a una vulnerabilidad de generación de monederos. Eso apunta a problemas sobre cómo se derivaron, almacenaron o usaron direcciones o claves durante la firma. No necesitamos la línea exacta de código para entender el alcance: si una dirección creada bajo ese proceso estaba defectuosa, la clave privada que la protege no estaba de forma fiable a salvo. Usarla más tarde, en cualquier lugar, podría exponer fondos.
Fallo a nivel de dirección vs fallo a nivel de semilla
Un fallo a nivel de semilla envenenaría todas las cuentas derivadas de la frase. Un fallo a nivel de dirección puede ser más sigiloso. Podrías tener una o más direcciones creadas bajo condiciones inseguras, mientras que otras con la misma semilla parecen estar bien. Pero en el momento en que una de esas direcciones comprometidas firma una transacción, corres el riesgo de un barrido (sweep).
Por eso la guía oficial fue tan específica. Bitquery y SecondFi advirtieron que simplemente volver a importar tu frase en otro monedero no neutraliza el problema. La vulnerabilidad está en el historial de direcciones y la ruta de firma, no en la interfaz del usuario (Bitquery / SecondFi).
Entonces, ¿qué puede hacer realmente un usuario?
Si usaste SecondFi y crees que fuiste afectado, la postura más segura es dejar de interactuar con cualquier dirección generada durante la ventana de exposición. No firmes desde esas direcciones. No pruebes con cantidades pequeñas. Trátalas como “calientes” hasta que el proceso forense y el plan de recuperación del proveedor demuestren lo contrario.
Pausa toda actividad desde las direcciones potencialmente afectadas. No firmes nada desde ellas.
Genera un monedero nuevo de Cardano usando una ruta confiable y una frase-seed fresca que nunca hayas usado antes.
Espera el flujo de recuperación de SecondFi y EMURGO si tus fondos ya fueron drenados. Si aún tienes ADA en direcciones que sospechas que están afectadas, busca instrucciones específicas del proveedor antes de mover. El acto de firmar podría ser el disparador.
Registra tu nueva frase-seed sin conexión. No la importes en múltiples lugares. Mantenla segmentada de entornos más antiguos, posiblemente expuestos.
No hay botones mágicos aquí. Es postura, paciencia e higiene operativa limpia.
Cómo se desarrollaron los drenajes en la cadena (on-chain)
Tenemos dos versiones de la misma historia: la instantánea inicial y el mosaico completo después de que los investigadores rastrearan los flujos.
Números que se movieron mientras la imagen se completaba
Los conteos iniciales de pérdidas se centraron en 16 millones de ADA en 374 direcciones en tres drenajes (CoinDesk). La segunda pasada más profunda de Bitquery mapeó dos oleadas principales e identificó una gran dirección de consolidación que tenía 129,430,001 ADA al 23 de junio, además de un conteo mucho mayor de monederos afectados: alrededor de 3,072 en ambas oleadas (Bitquery). Esos totales cubren rastros que van más allá del conteo superficial más temprano.
Una línea de tiempo breve desde la divulgación hasta la planificación de la recuperación
Fecha (2026) Evento Fuente 21–23 de junio Eventos de drenaje coordinado vinculados a una falla de generación de monederos; se observaron múltiples barridos CoinDesk, Bitquery 24 de junio Surge una imagen on-chain más amplia; el cofre de la segunda oleada muestra ~129.43M ADA; ~3,072 víctimas identificadas en ambas oleadas Bitquery 26 de junio EMURGO/SecondFi completan pericias y toman una instantánea final de saldos para anclar la recuperación The Block 27 de junio Se publica una hoja de ruta de recuperación, apuntando a comenzar la devolución de fondos en aproximadamente dos semanas The Block
¿Quién estaba exactamente dentro del alcance del fallo?
Si te preguntas por qué existen tanto 374 direcciones como ~3,072 víctimas en el reporte, la respuesta está en el alcance y el momento. Los conteos tempranos a menudo se enfocan en los primeros clústeres claramente vinculados. Las pericias posteriores abarcan rutas secundarias y consolidaciones. Direcciones, monederos y usuarios no son una correspondencia 1 a 1. Muchos usuarios tienen múltiples direcciones, y el agrupamiento del ataque puede difuminar las líneas. Trata ambos números como partes del mismo mapa que se va desarrollando, no como contradicciones.
Por qué la seguridad de la frase-seed pasó al centro del escenario
La pieza más contraintuitiva de esta saga es que cambiar de aplicación de monedero no arregla un mal pasado. Si una dirección nació bajo un proceso defectuoso, el peligro viaja con ella. Puedes instalar el software más auditado del planeta. Si importas la misma frase y luego firmas desde una dirección que ya estaba comprometida, podrías estar de nuevo en la zona de explosión. Esto fue el corazón de las advertencias de SecondFi capturadas en el informe de Bitquery (Bitquery / SecondFi).
Cómo se ve lo “seguro” desde aquí
Piensa en capas. Tu elección de monedero importa, sí. Pero tu flujo operativo importa más. Cuando sospeches cualquier exposición, rotas (cambias).
Acción Qué resuelve Matices Crear un monedero completamente nuevo con una frase-seed fresca Separa la actividad futura de cualquier exposición histórica de una dirección No recupera pérdidas pasadas; sigue los pasos de recuperación del proveedor Evitar importar frases antiguas en nuevas apps Evita reactivar direcciones comprometidas en otra interfaz Inconveniente, pero más seguro después de problemas sospechados a nivel de dirección Mantener las frases-seed sin conexión y únicas Reduce la probabilidad de filtración entre múltiples apps y de phishing Requiere disciplina en el almacenamiento y las copias de seguridad Monitorear solo anuncios oficiales de recuperación Ayuda a evitar portales impostores y formularios falsos de reembolso Los estafadores suplantarán nombres de marca durante incidentes
Conclusión final. La higiene de la frase-seed no es solo escribir palabras en papel. Es cómo, dónde y cuándo las reutilizas. En incidentes como este, la reutilización puede ser el detector oculto que se activa.
Dentro del reloj de recuperación: instantáneas, criterios y pagos
Después de que el polvo se asentó, EMURGO y SecondFi dijeron que terminaron el trabajo forense y tomaron una instantánea final de saldos el 26 de junio de 2026. La hoja de ruta pública apuntaba a comenzar las devoluciones en aproximadamente dos semanas. Una semana para construir el mecanismo de recuperación. Una semana para probarlo de extremo a extremo, según informó The Block.
Qué significa eso probablemente en la práctica
Congela la foto. Usa el snapshot del 26 de junio como el libro contable final de los saldos afectados.
Relaciona reclamos con direcciones. Vincula cada dirección afectada y su saldo con un reclamante mediante pruebas sólidas.
Construye y prueba un mecanismo de pago controlado. Minimiza las firmas nuevas desde rutas comprometidas.
Despliega en lotes. Empieza con un grupo pequeño para validar supuestos y luego escala.
Publica criterios de elegibilidad claros y canales de disputa. Espera casos límite y UTXOs “sueltos”.
Aclaración importante: por razones de seguridad, los proveedores no siempre divulgan con antelación la logística exacta de los pagos. Las fechas clave visibles para el usuario aquí son la instantánea y la ventana de construcción y pruebas de dos semanas. Si eres reclamante, mantén tu documentación sólida y sigue solo las instrucciones publicadas en canales oficiales.
Qué significa para el diseño de monederos de Cardano
Incidentes como este le exigen preguntas difíciles a cualquier ecosistema. Unas cuantas conclusiones probablemente moldearán el desarrollo de monederos de Cardano en los próximos trimestres.
La determinismo necesita verificación, no solo estándares
Los estándares por sí solos no bastan. Los equipos necesitan compilaciones reproducibles, vectores de prueba independientes y comprobaciones de direcciones entre implementaciones para que la misma semilla genere las mismas rutas seguras en cada cliente. Si un cliente diverge en silencio, los usuarios heredan ese riesgo sin saberlo.
La prueba de seguridad es un proceso, no una medalla
Los informes de auditoría ayudan, pero son instantáneas. Los monederos evolucionan mensualmente. Las fuentes seguras de entropía, el aislamiento de rutas de claves y el modelado de amenazas deben incorporarse al ciclo de lanzamiento. Los buenos proveedores invitan a pruebas de regresión y hacen fácil verificar las derivaciones entre herramientas antes de que los fondos reales toquen las direcciones.
Controles del usuario que reducen el alcance del fallo
Los usuarios se benefician de controles ligeros: avisos de firma por cuenta, fricción cuando se reutilizan direcciones antiguas y etiquetas claras para cuentas creadas con builds más antiguas, potencialmente afectadas. Nada de esto es glamuroso, pero convierte un riesgo invisible en decisiones explícitas.
Riesgos y qué podría salir mal
Aumento de phishing. Los atacantes suplantarán portales de reembolso y afirmarían tener herramientas para capturar nuevas semillas o firmas.
Falsos positivos o negativos en instantáneas. Algunas reclamaciones legítimas podrían omitirse y requerir revisión manual.
Volver a firmar desde direcciones comprometidas. Los usuarios podrían intentar mover fondos y activar nuevos drenajes.
Brechas de tiempo. Dos semanas pueden quedarse cortas si los casos límite se acumulan durante las pruebas.
Volatilidad del mercado. Si los reembolsos son en ADA, las variaciones de precio pueden complicar el valor percibido de la recuperación.
Coordinación legal. Las particularidades jurisdiccionales pueden ralentizar las comunicaciones o la aplicación de la ley contra flujos conocidos.
La forma más rápida de convertir una recuperación en un segundo incidente es ir con prisa, firmar desde direcciones calientes, o confiar en portales no verificados.
Si quieres cobertura constante sin el ruido, el equipo de Crypto Daily ha estado siguiendo historias de seguridad de monederos como esta a través de cadenas. Es una buena lectura única mientras esperas actualizaciones oficiales.
Preguntas frecuentes
¿Importar mi semilla en un monedero de Cardano distinto soluciona el problema?
No. Bitquery y SecondFi recalcaron que el fallo está a nivel de dirección. Si una dirección comprometida firma una transacción en cualquier lugar, la exposición puede reaparecer. Cambiar solo de aplicaciones no lo neutraliza (Bitquery / SecondFi).
¿Cuánta ADA estaba realmente en riesgo?
Los informes tempranos mencionaban aproximadamente 16 millones de ADA drenados de 374 direcciones (CoinDesk). Las pericias posteriores identificaron un segundo cofre en la segunda oleada con 129,430,001 ADA y alrededor de 3,072 monederos-víctima en ambas oleadas (Bitquery). Piensa en 16 millones como drenajes confirmados temprano y 129.43 millones como tenencias consolidadas mapeadas on-chain.
¿Cuál es el cronograma de recuperación?
EMURGO/SecondFi dijo que completaron las pericias (forense) y tomaron una instantánea final de saldos el 26 de junio de 2026, y luego apuntaron a devoluciones iniciales (returns) en aproximadamente dos semanas, con una semana para construir y una semana para probar el mecanismo (The Block).
¿Debería intentar mover cualquier ADA que quede yo mismo?
Ten mucho cuidado. Si la dirección se generó bajo las condiciones vulnerables, firmar podría ser el disparador del riesgo. Sigue la guía oficial de SecondFi y EMURGO. Si tienes dudas, cambia a un monedero completamente nuevo con una semilla fresca y espera las instrucciones del proveedor.
¿Cómo puedo comprobar si mis direcciones formaron parte de los barridos (sweeps)?
Monitorea paneles oficiales o cualquier herramienta de consulta proporcionada por los proveedores o por investigadores reputados. Evita comprobadores de reclamos de terceros publicados en redes sociales. Cuando existan herramientas, deben estar enlazadas por canales oficiales.
¿Usar un monedero de hardware me protege de este tipo de fallo?
El hardware ayuda con el aislamiento de claves, pero si una app defectuosa generó el conjunto original de direcciones, el riesgo puede persistir a nivel de dirección. Para configuraciones nuevas, generar la semilla en un monedero de hardware confiable reduce la exposición futura.
¿Qué pasa con los 129.43M ADA en el supuesto “cofre”?
Los investigadores rastrean direcciones de consolidación como esta para mapear flujos y posibles salidas alternativas (off-ramps). El rastreo no garantiza recuperación de fondos (clawback). Pero sí informa el diseño de la recuperación, la participación de fuerzas del orden y el monitoreo de exchanges (Bitquery).
Aviso legal: Este artículo se proporciona solo con fines informativos. No se ofrece ni se pretende usar como asesoramiento legal, fiscal, de inversión, financiero u otro.
