- SecondFi estima devolver ADA roubados em cerca de duas semanas após testes finais
- Exploit afetou 16 milhões de ADA em 374 endereços por falha na geração de chaves
- Emurgo já isolou 129 milhões de ADA em custodiante terceirizado até conclusão da auditoria
A carteira SecondFi, construída sobre a rede Cardano, traçou um caminho de recuperação para os usuários atingidos pelo exploit da última terça-feira. A previsão é começar a devolver os ativos em cerca de duas semanas, após uma rodada de testes e revisão de segurança. O incidente afetou 16 milhões de ADA distribuídos em 374 endereços, equivalente a aproximadamente US$ 2,4 milhões no momento do ataque.
A informação foi divulgada no sábado por Phillip Pon, CEO da Emurgo, empresa desenvolvedora da SecondFi. Segundo o executivo, a investigação forense já foi concluída e o protocolo de devolução foi desenhado. A próxima semana será dedicada à construção da solução técnica. A seguinte, a auditoria e validação antes da liberação dos fundos.
Falha na geração de chaves privadas expôs carteiras
A SecondFi confirmou na semana passada que o ataque teve origem em uma vulnerabilidade no software de geração de carteiras web na rede Cardano. O bug em nível de endereçamento acabou expondo as chaves privadas dos usuários, permitindo que o invasor drenasse os saldos. Um post-mortem detalhando a mecânica exata do exploit ainda não foi publicado.
Como medida emergencial, a equipe da Emurgo conseguiu blindar cerca de 129 milhões de ADA — montante muito superior ao valor desviado — e transferiu o saldo para um custodiante terceirizado independente. Esses fundos só serão devolvidos aos titulares quando o processo de verificação e o plano de recuperação estiverem concluídos.
Pon pediu para que os afetados não tentem migrar ativos ou executar movimentações por conta própria. Segundo o CEO, o procedimento foi projetado em cima do estado atual das carteiras comprometidas. Qualquer ação independente pode quebrar a cadeia de evidências e atrapalhar a devolução segura. A orientação é aguardar comunicação oficial.
Hoskinson admite não conhecer o invasor
O caso ganhou outra camada nos últimos dias com declarações de Charles Hoskinson, fundador da Cardano. Ele afirmou publicamente desconhecer a identidade do atacante, mas sinalizou abertura para negociação caso o agente aceite devolver os fundos sob a figura de white hat. A leitura dentro da comunidade é que parte do montante drenado pode retornar via acordo, reduzindo o prejuízo final. Mais contexto sobre essa frente aparece na declaração de Hoskinson sobre o caso.
O timing é desfavorável para o ecossistema Cardano. O ADA é negociado a US$ 0,1467 (R$ 0,7591), em alta de 1,8% nas últimas 24 horas, mas ainda longe das máximas do ciclo. Eventos de segurança em infraestrutura de carteiras tendem a pressionar sentimento de varejo justamente quando baleias começam a acumular, conforme mostram dados recentes de acúmulo em endereços grandes de ADA.
Emurgo alerta para golpes de falsa recuperação
Em comunicado paralelo, a SecondFi avisou que golpistas já estão circulando mensagens fraudulentas se passando pelo time oficial. A empresa reforçou que nenhuma ação de recuperação que dependa do usuário foi iniciada e que jamais solicitará chaves privadas, frases-semente ou credenciais de carteira por qualquer canal.
Qualquer instrução pedindo para o usuário enviar dados sensíveis, migrar fundos ou agir com urgência fora dos canais verificados deve ser tratada como tentativa de phishing. O suporte oficial só é prestado via portal de tickets da própria SecondFi, conforme detalhado no site da Emurgo.
Para o investidor brasileiro com exposição a ADA via exchanges como Mercado Bitcoin ou Foxbit, o episódio tem leitura indireta: os saldos custodiados em corretora não foram afetados, já que o exploit atingiu apenas a carteira web da SecondFi. Ainda assim, o caso reforça a fragilidade de softwares de geração de endereços de terceiros e justifica a preferência por hardware wallets ou custodiantes regulados quando o volume é relevante. A CVM e o Banco Central mantêm fora do escopo regulatório atual qualquer responsabilização sobre exploits em carteiras self-custody, transferindo o risco integralmente ao titular.
