- SecondFi confirma roubo de cerca de 16 milhões de ADA em 178 carteiras
- Falha está no software que gera carteiras e chaves privadas no navegador
- Empresa suspende serviços e ainda não definiu plano de ressarcimento
A SecondFi, carteira de Cardano que até abril operava sob a marca Yoroi, confirmou em 23 de junho a exploração de uma vulnerabilidade que drenou aproximadamente 16 milhões de ADA de 178 usuários. Com o ADA cotado a US$ 0,1525 (R$ 0,7887), o prejuízo direto chega perto de US$ 2,4 milhões. Os invasores também retiraram tokens e NFTs adicionais das contas comprometidas, mas ainda não divulgaram o volume.
A equipe rastreou o problema até o módulo de geração de carteiras via navegador. É exatamente o componente responsável por criar novas wallets e as chaves privadas associadas a elas. Em outras palavras, o material criptográfico que deveria nascer aleatório e seguro saiu defeituoso de fábrica.
Como a falha foi explorada
Ao identificar a brecha, a SecondFi colocou o serviço em modo de manutenção e congelou novas operações. Em seguida, tirou um snapshot dos saldos no momento do incidente, registrando o que cada usuário possuía antes da drenagem. A empresa também contratou uma firma de segurança em blockchain para uma auditoria independente, sem divulgar nome nem prazo.
A coordenação envolve nomes de peso do ecossistema Cardano, Input Output Global (IOG), Cardano Foundation, IntersectMBO e a DEX SundaeSwap. O comunicado oficial foi publicado pela própria empresa em página da SecondFi, que recomenda a migração imediata dos saldos remanescentes para carteiras de outros provedores. A recomendação traz um subtexto desconfortável, o sistema vulnerável pode ter comprometido qualquer chave gerada, inclusive nas contas ainda intactas.
Nenhum cronograma de indenização foi anunciado. A equipe também não divulgou os detalhes técnicos da falha, dificultando análises independentes e verificações em carteiras semelhantes.
Golpistas imitam suporte da SecondFi
Golpistas já exploram o vácuo de informação por meio de uma segunda camada de ataques. Perfis falsos da SecondFi abordaram usuários nas redes sociais e solicitaram seed phrases sob pretexto de recuperar fundos. A empresa orienta confirmar qualquer contato apenas pelos canais verificados e jamais compartilhar a frase de recuperação.
Esse padrão se repete em quase todo grande incidente cripto. Em casos recentes, como o exploit na bridge da Taiko, golpistas começaram a operar nas primeiras horas pós-anúncio. Para o detentor brasileiro de ADA, a prioridade prática é trocar de carteira, registrar o histórico de transações e ignorar qualquer mensagem privada que ofereça suporte.
Yoroi atendia mais de 1 milhão de usuários antes do rebrand
A SecondFi nasce de uma das marcas mais antigas do ecossistema Cardano. A EMURGO, uma das três entidades fundadoras da rede, desenvolveu a Yoroi, que ultrapassou 1 milhão de usuários e se consolidou como principal porta de entrada para quem não queria operar um full node. Em abril de 2026, a EMURGO transformou o produto em uma plataforma de “neofinance” com funções de gastos, trading, rendimento e poupança.
É justamente o histórico de confiança que torna o caso delicado. A falha não está em uma DEX experimental nem em um projeto anônimo, mas em uma carteira referência distribuída pela própria EMURGO. Para comparação, casos como o desvio ligado à fraude HashFlare envolveram custódia e operação centralizadas aqui o problema atinge a raiz, a geração de chaves no cliente.
