Взлом SecondFi: 16 млн ADA утекли из-за критической уязвимости кошелька

Экосистема Cardano получила серьезный удар по репутации: платформа SecondFi, ранее известная как Yoroi Wallet, подверглась эксплойту, в результате которого злоумышленники вывели порядка 16 миллионов ADA. Инцидент был зафиксирован 23 июня, после чего команда проекта немедленно перевела платформу в режим безопасного обслуживания, заблокировав все пользовательские операции через интерфейс.
По моим данным, атака затронула 374 адреса. На момент инцидента курс ADA колебался в районе $0,146, что переводит потери в сумму около $2,4 миллиона. Однако это лишь верхушка айсберга: команда SecondFi заявила, что экстренные меры позволили защитить оставшиеся 129 миллионов ADA, которые сейчас передаются на хранение независимому квалифицированному кастодиану. Это говорит о том, что масштаб потенциальной катастрофы был значительно выше.
Детали атаки: проблема на уровне адресов
В ходе расследования выяснилось, что уязвимость кроется не в самом блокчейне Cardano, а в модуле кошелька, отвечающем за генерацию приватных ключей. Как отметил генеральный директор Immunefi Митчелл Амадор, программное обеспечение SecondFi попросту раскрывало ключи, которые само же и создавало. Это фундаментальный дефект архитектуры безопасности.
Команда SecondFi подтвердила, что риск возникает в момент подписания транзакции. Именно поэтому они настоятельно рекомендовали пользователям не пытаться восстанавливать сид-фразу в других кошельках на базе Cardano — это не решило бы проблему, а лишь расширило бы поверхность атаки. Всего было зафиксировано четыре события вывода средств: три — руками злоумышленников, четвертое, предположительно, было экстренным перемещением 129 миллионов ADA самой командой для защиты активов, хотя прямо это не раскрывается.
Позиция IOG и EMURGO: кто в ответе?
Основатель Cardano Чарльз Хоскинсон поспешил дистанцироваться от инцидента, заявив, что SecondFi не является продуктом Input Output Global (IOG). Он подчеркнул, что у IOG нет ни доли, ни контроля, ни деловых отношений с этой платформой. Однако важно понимать, что за SecondFi стоит EMURGO — один из трех ключевых сооснователей блокчейна Cardano, который позиционирует себя как двигатель коммерческого внедрения технологии.
Этот инцидент вновь поднимает вопрос о децентрализации управления в экосистеме Cardano. Формально IOG и EMURGO — независимые структуры, но для сообщества они являются частью единого «ядра». То, что Хоскинсон называет SecondFi «продуктом Microsoft» по отношению к «Apple» IOG, лишь подчеркивает разобщенность и отсутствие единых стандартов безопасности среди ключевых игроков.
Мой анализ: Данный эксплойт — не просто технический сбой, а серьезный сигнал тревоги для всей индустрии. Утечка 16 миллионов ADA из-за фундаментальной ошибки в генерации ключей — это провал на уровне базового дизайна продукта. Пока основатели перекладывают ответственность, пользователи теряют реальные средства. Этот случай должен стать катализатором для пересмотра стандартов аудита безопасности кошельков, особенно тех, которые претендуют на роль «основных» в своих экосистемах.