Уязвимость в кошельке SecondFi, основанном на Cardano, позволила злоумышленникам вывести средства пользователей, что привело к значительным потерям.
SecondFi в среду подтвердила, что выявила первопричину взлома и сейчас взаимодействует с платформами экосистемы Cardano и исследователями блокчейна для устранения проблемы.
Компания также заявила, что активировала экстренные меры, которые обеспечили примерно 129 миллионов ADA, которые переносятся независимому третьему хранителю и будут храниться для пострадавших пользователей до проведения верификации.
Во вторник платформа оценила, что около 16 миллионов ADA, или $2.4 миллиона, пострадали на 374 адресах.
Основатель Cardano Чарльз Хоскинсон заявил, что SecondFi не является продуктом Input Output Global и подчеркнул, что между кошельком и IOG нет собственности, контроля или деловых отношений.
SecondFi выявила уязвимость, связанную с проблемой на уровне адресов
SecondFi не опубликовала исчерпывающий отчет о произошедшем на момент публикации, но выпустила несколько заявлений, подтверждающих нарушение безопасности, вызванное уязвимостью в ее программном обеспечении для генерации Cardano веб-кошельков.
В компании заявили, что первопричиной инцидента является проблема на уровне адресов, которая влияет на пользователей при подписании транзакций.
Источник: SecondFi
«Программное обеспечение кошелька SecondFi подвергло воздействию приватные ключи, которые оно генерировало», - заявил Митчелл Амадор, генеральный директор компании Immunefi Cointelegraph.
Амадор сказал, что хотя блокчейн остался безопасным, код, который генерирует ключи, является «частью, которую никто не проверяет, как контракт». Он добавил, что злоумышленники все чаще переключают внимание на инфраструктуру, которая создает или хранит криптоключи, а не на протоколы блокчейна.
«Восстановление на другую платформу или кошелек не снижает риск», - заявила SecondFi, предупреждая пользователей не восстанавливать свои seed-фразы в новых Cardano кошельках. Этот совет отличался от рекомендаций некоторых участников сообщества, которые призывали пользователей перенести затронутые кошельки и переместить средства на вновь созданные адреса.
«Мы не писали этот код», - говорит Хоскинсон
SecondFi — самокастодиальная платформа, построенная на Cardano, которая перешла на новый бренд из Yoroi wallet в апреле 2026 года. Yoroi был разработан Emurgo, который описывает себя как "коммерческое подразделение Cardano", и был запущен как первый кошелек Cardano ADA с открытым исходным кодом.
Хоскинсон сказал, что команда реагирования на инциденты IOG находится в контакте с SecondFi с понедельника и что платформа запросила независимый аудит безопасности.
Источник: Charles Hoskinson
В видео, опубликованном во вторник на X, Хоскинсон подчеркнул, что IOG «не является Emurgo», добавив, что компания не имеет влияния на Emurgo и не может говорить от ее имени относительно взлома.
«Мы не писали этот код и не связаны с ним», - сказал он.
