Cargando precios…
Zipp Zipp Publicitar
Registrarse Iniciar sesión
〽️NEUTRAL TheBlock

SecondFi devolverá 16 millones de ADA robados en dos semanas

Unos 16 millones de ADA se vaciaron de 374 direcciones en tres días, y el camino a seguir pasa por un SDK externo no auditado que reemplazó en silencio el código de firma del monedero el 8 de junio.

EMURGO anunció el sábado que ha identificado una vía de recuperación para los usuarios de su monedero SecondFi para Cardano y prevé comenzar a devolver los activos en aproximadamente dos semanas.

El exploit drenó unos 16 millones de ADA, alrededor de 2,4 millones de dólares, de 374 direcciones entre el 21 y el 23 de junio, a través de un fallo en el propio software de generación de monederos de SecondFi. Un informe de Tibane Labs, un fabricante de monederos competidor, señala a un SDK externo no auditado que, según afirma, reemplazó el código de firma auditado de EMURGO el 8 de junio y dejó que una sola firma bastara para filtrar la clave privada de un usuario.

Por qué importa

La brecha se sitúa en la capa del software del monedero, no en el protocolo de Cardano en sí, pero el modo de fallo resulta incómodo para el ecosistema: un cambio de dependencia dentro del pipeline de build introdujo código no revisado en una ruta de firma previamente auditada. Este tipo de evento en la cadena de suministro empuja a los monederos competidores a publicar sus hashes de dependencias y atestaciones de auditoría, y ejerce presión sobre EMURGO para que revele exactamente qué SDK fue sustituido, cuándo y cómo el reemplazo pasó la revisión de código.

Impacto en el mercado

El ADA no ha mostrado una reacción coordinada del mercado ante la noticia, lo que es coherente con un incidente del proveedor del monedero y no con un fallo a nivel de protocolo. La señal más duradera es reputacional: una pérdida de 2,4 millones de dólares repartida entre 374 usuarios es pequeña en relación con la capitalización de la cadena, pero concentra el daño específicamente en la base de usuarios de SecondFi. Conviene seguir si EMURGO publica las direcciones de los contratos de recuperación, si se cumple el plazo de dos semanas, y si los proveedores de monederos nativos de Cardano empiezan a publicar atestaciones de SDK externos como práctica por defecto.

Tokens relacionados
$ADA
$ADA#Cardano#WalletExploit#SupplyChain

Preguntas frecuentes

  1. ¿Se hackeó el propio protocolo de Cardano en el incidente de SecondFi?

    No. El exploit atacó el software de generación de monederos de SecondFi, no el protocolo de Cardano. Se drenaron unos 16 millones de ADA, alrededor de 2,4 millones de dólares, de 374 direcciones de usuario entre el 21 y el 23 de junio.

  2. ¿Cómo funcionó en realidad el exploit de SecondFi?

    Según un informe de Tibane Labs, un SDK externo no auditado reemplazó el código de firma auditado de EMURGO el 8 de junio y dejó que una sola firma bastara para filtrar la clave privada de un usuario.

  3. ¿Quién es EMURGO y qué es SecondFi?

    EMURGO es una de las entidades fundadoras de Cardano. SecondFi es su producto de monedero para Cardano, y el exploit golpeó al software propio del monedero, no a la cadena subyacente.

  4. ¿Recuperarán su ADA los usuarios de SecondFi afectados?

    EMURGO anunció el sábado que ha identificado una vía de recuperación y prevé comenzar a devolver los activos en aproximadamente dos semanas. El comunicado aún no nombraba las direcciones de los contratos de recuperación.

  5. ¿Cuánto se perdió en el exploit de SecondFi?

    Unos 16 millones de ADA, valorados en aproximadamente 2,4 millones de dólares en aquel momento, drenados de 374 direcciones durante una ventana de tres días, del 21 al 23 de junio.

Atribución de fuente
Agregado de TheBlock · Verificado · Última actualización hace 1h
Abrir original →

Más de Seguridad

Historias que nuestros editores creen que combinan bien con esta.

Más antiguo en Seguridad

Ponte al día con la cobertura anterior de este tema.