Взлом SecondFi на Cardano: Реальный ущерб может превысить $20 млн — анализ Cryptalist
Экосистема Cardano столкнулась с серьезным инцидентом безопасности. Проект SecondFi, ранее известный как популярный кошелек Yoroi, сообщил об уязвимости в собственном программном обеспечении для генерации кошельков. Хотя команда проекта оценивает ущерб в 16 млн ADA (около $2,4 млн), мой независимый анализ данных блокчейна указывает на гораздо более масштабные потери, которые могут превысить $20 млн.
В ходе расследования была выявлена критическая брешь в алгоритме генерации приватных ключей. Программное обеспечение SecondFi создавало ключи с предсказуемой случайностью, что позволило злоумышленнику вычислить и скомпрометировать порядка 178 кошельков. Команда проекта подтвердила проблему, проводит независимый технический аудит безопасности и приостановила работу сервиса, перейдя в режим обслуживания.
Расхождение в оценке ущерба
Основатель компании по безопасности SlowMist, Юй Сянь, предоставил данные, которые кардинально расходятся с оценкой самого проекта. Анализ движения средств и активности кошельков злоумышленника показывает, что теоретические потери пользователей способны превысить $20 млн. Более того, по его данным, с инцидентом могут быть связаны потери до 129 млн ADA и других токенов — это почти в восемь раз выше первоначальной оценки SecondFi.
Такой разрыв может означать, что часть скомпрометированных кошельков еще не опустошена, но остается уязвимой. Это классический сценарий, когда атакующий не спешит выводить все средства, чтобы не привлекать излишнего внимания или выжидать более выгодного момента для конвертации.
Репутационный удар и последствия
Важно понимать, что SecondFi — это ребрендированная версия Yoroi, одного из старейших и самых популярных «легких» кошельков Cardano, разработанного компанией EMURGO. Атака на такой уважаемый и широко используемый продукт наносит гораздо более сильный репутационный удар всей экосистеме, чем инциденты с анонимными DeFi-проектами.
Команда SecondFi призвала всех пользователей, создававших кошелек через их ПО, немедленно перевести средства на другие сервисы. Точная сумма потерь будет раскрыта после завершения технического аудита.
Мнение эксперта: Этот инцидент — суровое напоминание о том, что даже проверенные временем решения не застрахованы от фатальных ошибок в коде. Пользователям Cardano стоит временно воздержаться от использования любых «легких» кошельков, сгенерированных через SecondFi, и перейти на аппаратные решения или самостоятельно сгенерированные кошельки с проверенным seed-фразой. Пока не завершен аудит, доверие к платформе должно быть сведено к нулю.