Charles Hoskinson, fundador da Cardano, afirmou em 24 de junho que a blockchain não foi hackeada. Segundo ele, o incidente de segurança ligado à carteira SecondFi teve origem em alterações feitas no código fechado da aplicação.

A análise técnica, conforme Hoskinson, concentrou-se em trechos minificados em TypeScript. O objetivo era verificar se algum componente central da rede havia sido comprometido.

Nos dias anteriores, circularam relatos de que a SecondFi, anteriormente conhecida como Yoroi, sofreu uma falha associada ao software nativo de geração de carteiras web. As estimativas iniciais apontaram perdas de cerca de 16 milhões de ADA, além de NFTs e outros tokens. Os ativos teriam saído de aproximadamente 178 carteiras de autocustódia.

Ainda assim, esses números não haviam sido verificados de forma independente naquele momento. De acordo com os relatos, a falha na criação das carteiras pode ter exposto chaves privadas já na etapa inicial do processo.

Nesse sentido, Hoskinson afirmou que sua prioridade era entender se a camada de cripto da própria Cardano havia sido afetada. Portanto, a investigação não se limitava a medir o tamanho do prejuízo.

Análise aponta falha na aplicação

Segundo Hoskinson, a resposta foi negativa. Após revisar o código da SecondFi, ele declarou em uma transmissão publicada no YouTube que as bibliotecas abertas de cripto usadas pela maioria das carteiras do ecossistema Cardano parecem intactas.

Além disso, ele disse não ter encontrado sinais de alteração em pontos como derivação de chaves, lógica de carteiras HD e seleção de UTXO.

Por outro lado, o elemento que mais chamou atenção foi a camada proprietária da SecondFi. Conforme sua avaliação, as transações anômalas parecem estar ligadas ao código fechado da empresa. Mais especificamente, o problema estaria em mudanças aplicadas sobre o padrão aberto mantido pela Cardano.

Em outras palavras, a distinção entre infraestrutura aberta e implementação proprietária seria central para entender o episódio. Essa leitura coincide com publicações feitas por membros da comunidade em 23 de junho na rede X.

Segundo essa interpretação, o problema não representou um comprometimento da blockchain Cardano. A causa raiz estaria no software nativo de geração da carteira web da SecondFi, e não na rede em si. Hoskinson afirmou que esse enquadramento está correto.

Ao mesmo tempo, o caso reacendeu o debate sobre segurança em soluções construídas sobre padrões abertos. Para usuários do mercado de criptomoedas, a diferença entre falha de aplicação e falha de protocolo é decisiva.

O vetor do ataque, segundo Hoskinson

Hoskinson declarou ainda que conseguiu reproduzir a forma como o ataque ocorreu. No entanto, preferiu não divulgar os detalhes técnicos neste momento. Segundo ele, auditorias independentes devem ocorrer primeiro. Além disso, a Emurgo precisaria liderar a divulgação formal sobre o caso.

Na leitura preliminar apresentada por ele, as frases-semente de 24 palavras usadas pelos usuários afetados talvez não tenham sido comprometidas diretamente. Em vez disso, o problema pode estar nos elementos derivados dessas palavras posteriormente.

Ou seja, a vulnerabilidade não estaria necessariamente na seed em si. O ponto crítico pode estar em etapas subsequentes do processo operacional da carteira.

Ademais, Hoskinson aproveitou o episódio para reforçar uma posição anterior ao incidente. Na visão dele, códigos criptográficos que afetam um ecossistema amplo devem ser desenvolvidos por uma federação de entidades, e não por um único fornecedor.

Assim, a infraestrutura de código aberto construída ao longo dos anos pela Cardano teria sido concebida justamente para suportar situações de pressão como essa.

Próximos passos após o incidente na SecondFi

Hoskinson também ressaltou que a Input Output não possui autoridade para congelar fundos nem reverter transações. Segundo ele, a Cardano foi desenhada como uma criptomoeda real, sem que um ator central tenha poder para intervir dessa forma.

Portanto, essa limitação faz parte do próprio desenho da rede. Outro ponto citado por ele envolve o destino dos valores movimentados após o incidente.

De acordo com seus relatos, parte dos fundos pode não ter sido transferida pelo invasor. Ele disse ter recebido informações sobre a atuação de white hats, com recuperação de alguns ativos por esse caminho.

Ainda assim, Hoskinson afirmou que espera entender melhor como esses valores poderão ser devolvidos aos usuários afetados.

Como orientação imediata, ele recomendou que qualquer pessoa com carteira que tenha interagido com o sistema da SecondFi deixe as chaves sem uso e não realize transações.

Na avaliação de Hoskinson, toda a aplicação deve ser tratada como comprometida até que uma auditoria independente conclua a análise. Depois disso, um processo formal de correção deverá ser executado.

Nesse meio tempo, a SecondFi entrou em modo de manutenção, enquanto a revisão independente segue pendente. Hoskinson também criticou a cobertura inicial de parte da mídia sobre o caso. Contudo, concentrou sua argumentação na análise técnica do incidente.

Cenário atual para usuários afetados

Os elementos apresentados até agora indicam que o episódio envolveu o software de geração de carteiras web da SecondFi. As perdas relatadas giram em torno de 16 milhões de ADA, com impacto sobre cerca de 178 carteiras.

Apesar disso, Charles Hoskinson sustenta que as bibliotecas abertas de cripto da Cardano permaneceram sem alteração. Ele também afirma que a própria blockchain não foi comprometida.

Por fim, o caso segue em apuração. A confirmação final dependerá das auditorias independentes e da comunicação formal das empresas envolvidas. Até lá, a principal mensagem de Hoskinson é direta: o incidente teria atingido uma implementação específica, não a base técnica da rede Cardano.