Взлом SecondFi: реальный ущерб экосистемы Cardano может оказаться в разы больше заявленного
Экосистема Cardano столкнулась с серьезным ударом по репутации. Проект SecondFi, ранее известный как популярный кошелек Yoroi, подтвердил факт эксплуатации критической уязвимости в собственном программном обеспечении для генерации кошельков. По предварительным данным команды, прямой ущерб составляет около 16 млн ADA (примерно $2,4 млн). Однако мой анализ on-chain данных и оценки независимых экспертов указывают на то, что реальные потери пользователей могут превысить $20 млн.
В ходе расследования выяснилось, что брешь была заложена в проприетарном коде, отвечающем за создание приватных ключей. Из-за дефекта в генераторе псевдослучайных чисел все кошельки, созданные через это ПО, оказались скомпрометированы. Злоумышленник получил возможность предсказывать и восстанавливать ключи, что привело к опустошению средств. На данный момент подтверждено, что под угрозой находятся около 178 кошельков, но это число может быть неокончательным.
Расхождение в оценках: почему $2,4 млн — это только начало
Основатель компании по безопасности SlowMist, Юй Сянь, провел независимый анализ движения средств. Его данные свидетельствуют о том, что масштаб катастрофы значительно серьезнее. По его оценке, два отслеженных адреса злоумышленника могут быть связаны с потерями до 129 млн ADA и других токенов. Это в восемь раз превышает оценку самого проекта.
Такое колоссальное расхождение объясняется просто: часть скомпрометированных кошельков еще не была опустошена на момент первого отчета SecondFi. Это означает, что атакующий, имея доступ к ключам, может наносить удар в любой момент. Пользователи, которые не успели вывести средства, сидят на «бомбе замедленного действия».
Удар по репутации Cardano
Важно понимать контекст. SecondFi — это ребрендинг кошелька Yoroi, разработанного компанией EMURGO, одним из трех сооснователей Cardano. Йорой пользовались более миллиона держателей ADA. Это не какой-то анонимный DeFi-проект, а флагманский продукт экосистемы. Поэтому репутационные последствия здесь гораздо серьезнее, чем при взломе малоизвестного протокола.
Команда SecondFi уже приостановила работу сервиса, сделала снимок балансов и призвала всех пользователей, создававших кошелек через их ПО, немедленно перевести активы на другие сервисы. Расследование продолжается, и точная сумма ущерба будет раскрыта после завершения технического аудита сторонней компанией.
Комментарий аналитика: Этот инцидент — суровое напоминание о том, что даже «легкие» кошельки от доверенных разработчиков несут риски. Полагаться исключительно на репутацию бренда — ошибка. Каждый пользователь обязан требовать публичных аудитов кода генерации ключей. Пока экосистема Cardano не выработает строгие стандарты безопасности для своих «якорных» проектов, подобные инциденты будут подрывать доверие ко всей сети.