Взлом SecondFi в экосистеме Cardano: реальные потери могут достичь $20 млн
Проект SecondFi, работающий в экосистеме Cardano, подтвердил факт серьезного инцидента с безопасностью. Причиной стала уязвимость в собственном программном обеспечении для генерации кошельков. По предварительным оценкам команды, прямой ущерб составляет около 16 млн ADA (примерно $2,4 млн), однако данные независимых аналитиков указывают на то, что реальные потери могут превысить $20 млн.
В ходе внутреннего расследования было установлено, что брешь возникла в разработанном компанией генераторе кошельков Cardano. Команда уже провела ончейн-анализ для оценки масштаба ущерба и привлекла стороннюю компанию по блокчейн-безопасности для проведения независимого технического аудита.
Расхождение в оценках ущерба
Юй Сянь, основатель компании по безопасности SlowMist, считает, что реальный ущерб может оказаться значительно выше официальных цифр. Его анализ движения средств злоумышленника и активности кошельков показывает, что теоретические потери пользователей способны превысить $20 млн.
По оценке Cos, с инцидентом могут быть связаны потери до 129 млн ADA и других токенов — это многократно превышает первоначальные расчеты самого проекта. Он отметил, что отследил два предполагаемых адреса злоумышленника.
Разрыв примерно в восемь раз между оценками SlowMist и SecondFi остается значительным. Это может означать, что часть скомпрометированных кошельков еще не опустошена, но остается уязвимой. Пока не все активы выведены, угроза для пользователей сохраняется.
Чем опасна уязвимость и что делать пользователям
Угроза затрагивает фундаментальный принцип самостоятельного хранения активов. Уязвимое ПО генерировало приватные ключи с предсказуемой случайностью, из-за чего под угрозой оказались все кошельки, созданные через эту программу. По первоначальной оценке, пострадали около 178 кошельков.
SecondFi — это переименованный продукт Yoroi, один из самых ранних и популярных «легких» кошельков Cardano, которым пользовались более миллиона держателей ADA. Его разработала EMURGO, одна из трех компаний-основателей Cardano, проведя ребрендинг в начале июня 2026 года. Таким образом, репутационный удар от атаки ощущается сильнее, чем при инцидентах с анонимными проектами.
Проект приостановил работу, перешел в режим обслуживания и сделал снимок балансов пользователей. Команда призвала всех, кто создавал кошелек через ее ПО, немедленно перевести активы в кошельки других сервисов. SecondFi продолжает расследование, а точную сумму потерь обещает раскрыть после завершения технического аудита.
Мой анализ: Этот инцидент — очередное напоминание о том, что даже уважаемые проекты с многолетней историей могут содержать критические ошибки в коде. Предсказуемая генерация ключей — это база, которую не должны пропускать ни аудиторы, ни разработчики. Пользователям Cardano стоит пересмотреть свои подходы к безопасности: доверять свои активы исключительно аппаратным кошелькам или проверенным, многократно аудированным решениям с открытым исходным кодом. Пока индустрия не выработает единые стандарты безопасности для «легких» кошельков, такие атаки будут повторяться.