SecondFi, la billetera de Cardano anteriormente conocida como Yoroi, confirmó pérdidas de 16 millones de ADA, valoradas en aproximadamente 2.4 millones de dólares, provenientes de 374 billeteras de usuarios en tres ataques. La firma aseguró otros 129 millones de ADA antes de que ocurrieran más extracciones. Una falla en su software propietario de generación de billeteras provocó la brecha.
La vulnerabilidad operaba a nivel de dirección y se activaba cuando un usuario afectado firmaba una transacción. Trasladar una frase semilla a otra billetera no ofrecía protección alguna. SecondFi implementó un parche para los usuarios no afectados y aconsejó a los clientes perjudicados presentar reclamaciones directamente.
La firma de seguridad blockchain SlowMist estimó que las pérdidas totales podrían superar los 20 millones de dólares en todas las billeteras y tokens comprometidos, a la espera de una auditoría independiente. SecondFi contrató a una firma contable externa para verificar los fondos recuperados y transferirlos a un custodio externo.
El fundador de Cardano, Charles Hoskinson, reconoció el incidente, señalando que la cantidad en dólares era modesta en comparación con otros hackeos de criptomonedas, aunque esto ofreció poco consuelo a los afectados. ADA cotizaba cerca de los 0.15 dólares en ese momento, su nivel más bajo desde 2020.
