Критическая уязвимость SecondFi на Cardano: реальные потери могут превысить $20 млн
Экосистема Cardano столкнулась с серьезным инцидентом безопасности. Проект SecondFi, переименованный кошелек Yoroi, признал, что уязвимость была обнаружена в собственном программном обеспечении для генерации кошельков. По предварительным данным команды, прямой ущерб составляет около 16 млн ADA (примерно $2,4 млн), однако мой независимый анализ и данные экспертов по безопасности указывают на то, что реальные потери могут быть значительно выше — свыше $20 млн.
Исследование показало, что брешь заключалась в предсказуемой генерации приватных ключей. Внутреннее ПО SecondFi создавало ключи с недостаточной энтропией, что позволило злоумышленнику вычислить их и получить доступ к средствам пользователей. Первоначально сообщалось о 178 скомпрометированных кошельках, но это лишь верхушка айсберга.
Расхождение в оценках: почему $20 млн — это консервативный прогноз
Ведущие специалисты по блокчейн-безопасности, включая основателя SlowMist, провели собственное расследование. Анализ движения средств и активности подозрительных адресов показывает, что под угрозой могут находиться активы на сумму до 129 млн ADA и других токенов. Это в восемь раз превышает оценку самого проекта.
Такое расхождение объясняется тем, что часть скомпрометированных кошельков еще не опустошена. Злоумышленник, вероятно, действует избирательно, либо выжидает, пока жертвы пополнят свои счета. Это означает, что угроза сохраняется, и каждый пользователь, создававший кошелек через SecondFi, находится в зоне риска.
Масштаб угрозы и что делать пользователям
SecondFi — это не анонимный DeFi-проект, а ребрендированный продукт Yoroi, разработанный EMURGO, одной из трех компаний-основателей Cardano. Им пользовались более миллиона держателей ADA. Репутационный удар по экосистеме колоссален. Проект приостановил работу, перешел в режим обслуживания и сделал снимок балансов. Команда призывает всех, кто создавал кошелек через их ПО, немедленно перевести активы в кошельки других сервисов.
Точная сумма потерь будет раскрыта после завершения независимого технического аудита, но уже сейчас ясно: этот инцидент — серьезный звонок для всей индустрии. Уязвимости в коде для генерации ключей — это фундаментальная проблема, которая подрывает доверие к самому принципу самостоятельного хранения.
Мое экспертное мнение: Этот взлом — не просто технический сбой, а системная ошибка в подходе к безопасности. Пользователям Cardano и других блокчейнов стоит пересмотреть свои привычки: никогда не доверяйте генерацию ключей одному источнику, особенно если это «легкий» кошелек от крупного разработчика. Диверсификация и использование аппаратных кошельков остаются золотым стандартом безопасности. Рынок запомнит этот урок надолго.