Эксплойт SecondFi на Cardano: утекли приватные ключи, похищено 16 млн ADA
23 июня команда SecondFi, известная ранее как Yoroi Wallet, объявила о критической уязвимости в своем кошельке на блокчейне Cardano. Платформа была немедленно переведена в режим безопасного обслуживания, а доступ пользователей к операциям через интерфейс был временно заблокирован. Разработчики начали масштабное расследование инцидента.
Масштаб атаки и экстренные меры
Уже на следующий день, 24 июня, SecondFi подтвердила, что злоумышленники смогли вывести приблизительно 16 млн ADA с 374 адресов. По моим оценкам, исходя из курса ADA около $0,146 на момент инцидента, прямой ущерб составил порядка $2,4 млн. Однако, как показал анализ, это лишь вершина айсберга.
Команда SecondFi заявила, что для предотвращения полной потери средств были запущены экстренные протоколы защиты. В результате удалось спасти 129 млн ADA, которые сейчас направляются независимому квалифицированному стороннему кастодиану. Эти средства будут храниться в интересах пострадавших адресов. Важно отметить, что всего было зафиксировано четыре события вывода средств: три из них совершили хакеры, а четвертое, предположительно, было инициативой самой команды по перемещению защищённых активов.
Корень проблемы: генерация ключей
Митчелл Амадор, генеральный директор Immunefi, в ходе расследования указал на ключевую деталь: программное обеспечение SecondFi раскрыло приватные ключи, которые оно же и генерировало. Это фундаментальная уязвимость на уровне архитектуры кошелька, а не самого блокчейна Cardano. Именно поэтому SecondFi настоятельно рекомендовала пользователям не пытаться восстанавливать сид-фразу в других кошельках на базе Cardano — риск компрометации остаётся.
Этот инцидент — яркий пример того, как ошибка в модуле генерации ключей может привести к катастрофическим последствиям, несмотря на общую безопасность блокчейна. Пользователям стоит перепроверять, кто именно отвечает за безопасность их seed-фразы.
Реакция экосистемы и позиция IOG
Чарльз Хоскинсон, основатель Cardano, поспешил дистанцировать Input Output Global (IOG) от инцидента. Он подчеркнул, что SecondFi не является продуктом IOG, и у компании нет ни доли, ни контроля, ни деловых отношений с этим проектом. «Мы не писали этот код и не связаны с ним», — заявил Хоскинсон, сравнив ситуацию с просьбой к Apple решить проблему с продуктом Microsoft.
Однако стоит отметить, что за SecondFi стоит EMURGO — один из трёх ключевых сооснователей блокчейна Cardano. В своей документации EMURGO описывает себя как стимулятора коммерческого внедрения технологии. Этот конфликт интересов и попытка дистанцироваться от проблем дочернего продукта поднимает серьёзные вопросы о децентрализации управления в экосистеме.
Мой анализ: Данный эксплойт — не просто техническая неудача, а серьёзный удар по репутации Cardano как экосистемы с продвинутой безопасностью. То, что уязвимость возникла на уровне генерации ключей в продукте одного из сооснователей, ставит под сомнение модели аудита и контроля качества в проектах, связанных с EMURGO. Пока IOG открещивается, сообществу придётся разбираться с последствиями самостоятельно, а доверие к «научному» подходу Cardano получает очередную трещину.