Взлом SecondFi на Cardano: оценка ущерба разошлась в восемь раз — реальные потери могут превысить $20 млн
Экосистема Cardano столкнулась с серьезным инцидентом безопасности. Проект SecondFi, ранее известный как популярный кошелек Yoroi, подтвердил наличие критической уязвимости в собственном программном обеспечении для генерации кошельков. По предварительным данным команды, прямой ущерб оценивается примерно в 16 миллионов ADA (около $2,4 млн), однако независимый анализ указывает на гораздо более масштабные последствия.
Основатель компании по безопасности SlowMist, Юй Сянь, провел собственное расследование и пришел к выводу, что реальные потери пользователей могут превышать $20 млн. Анализ движения средств злоумышленника и активности скомпрометированных кошельков показывает, что под угрозой могут находиться активы на сумму до 129 миллионов ADA и других токенов. Это почти в восемь раз превышает первоначальную оценку самого проекта.
В чем суть уязвимости и почему расхождение в цифрах так велико?
Проблема кроется в алгоритме генерации приватных ключей. Внутреннее ПО SecondFi создавало ключи с предсказуемой случайностью, что позволило злоумышленнику вычислить их и получить доступ к средствам. Изначально сообщалось о 178 скомпрометированных кошельках, но данные SlowMist свидетельствуют, что часть уязвимых адресов еще не опустошена. Это означает, что угроза сохраняется для всех, кто создавал кошелек через это ПО, даже если средства пока не тронуты.
Важно понимать контекст: SecondFi — это ребрендированный Yoroi, один из старейших и самых популярных «легких» кошельков Cardano, разработанный компанией EMURGO, одним из трех сооснователей блокчейна. Им пользовались более миллиона держателей ADA. Ребрендинг произошел лишь в начале июня 2026 года. Таким образом, репутационный удар по проекту, аффилированному с ключевыми игроками экосистемы, гораздо серьезнее, чем атака на анонимный DeFi-проект.
Действия проекта и рекомендации
SecondFi немедленно приостановил работу, перешел в режим обслуживания и сделал снимок балансов пользователей. Команда призывает всех, кто создавал кошелек через их ПО, как можно скорее перевести активы на кошельки других сервисов. Расследование продолжается с привлечением сторонних аудиторов по блокчейн-безопасности. Точную сумму потерь обещают раскрыть после завершения технического аудита.
Мой анализ: Данный инцидент — это не просто очередной взлом. Это системный сбой на уровне фундаментальной инфраструктуры Cardano. Уязвимость в коде, отвечающем за генерацию приватных ключей — это худший кошмар для любого блокчейна. Он подрывает доверие к самому принципу безопасного хранения. Тот факт, что независимые эксперты оценивают ущерб в разы выше, чем сам проект, говорит либо о неполноте внутреннего расследования, либо о попытке смягчить первоначальную панику. В любом случае, этот случай станет серьезным тестом для Cardano и его сообщества на способность быстро и прозрачно реагировать на критические угрозы.