Эксплойт SecondFi: 16 миллионов ADA утекли из-за фатальной уязвимости в генерации ключей

23 июня платформа SecondFi, специализирующаяся на DeFi-решениях для блокчейна Cardano, была вынуждена экстренно перевести свои сервисы в режим безопасного обслуживания. Причиной стала критическая уязвимость в кошельке проекта, которая привела к масштабной утечке средств. Разработчики немедленно заблокировали пользовательские операции, чтобы оценить масштаб катастрофы и предотвратить дальнейшее опустошение кошельков.
Масштаб и механизм атаки
Уже на следующий день, 24 июня, команда SecondFi подтвердила худшие опасения: злоумышленники успешно скомпрометировали 374 адреса и вывели с них около 16 миллионов ADA. По текущему курсу, который на момент инцидента составлял примерно $0,146 за токен, ущерб оценивается в $2,4 миллиона. Важно подчеркнуть, что это лишь «верхушка айсберга» — атака могла быть куда разрушительнее.
Как выяснилось в ходе расследования, уязвимость находилась не на уровне блокчейна Cardano, а непосредственно в модуле генерации приватных ключей кошелька SecondFi. По сути, программное обеспечение проекта «раскрывало» эти ключи, делая их доступными для атакующих в момент подписания транзакции пользователем. Это объясняет, почему простая смена платформы или восстановление сид-фразы в другом кошельке не решили бы проблему — опасность была заложена в самой архитектуре приложения.
Экстренные меры и спасение 129 миллионов ADA
В ответ на активную атаку команда SecondFi предприняла беспрецедентные меры. Чтобы предотвратить полную потерю ликвидности, они в ручном режиме переместили 129 миллионов ADA на адрес независимого квалифицированного кастодиана. Эти средства находятся в безопасности и предназначены для последующего распределения среди пострадавших пользователей. Всего было зафиксировано четыре крупных события по выводу средств: три из них — работа хакеров, четвертый — операция самой команды по спасению активов.
Реакция экосистемы и позиция IOG
Инцидент вызвал волну напряженности в сообществе Cardano. Основатель блокчейна Чарльз Хоскинсон и его компания Input Output Global (IOG) поспешили дистанцироваться от произошедшего. Хоскинсон прямо заявил, что SecondFi не является продуктом IOG, у них нет «ни доли, ни контроля, ни деловых отношений». Он сравнил ситуацию с просьбой к Apple решить проблему с продуктом Microsoft. Однако стоит отметить, что SecondFi (ранее известный как Yoroi Wallet) принадлежит компании EMURGO, которая позиционирует себя как один из сооснователей экосистемы Cardano.
Мнение эксперта: Этот инцидент — яркий пример того, как фундаментальная ошибка в архитектуре безопасности одного приложения может подорвать доверие ко всему блокчейну, даже если сам протокол Cardano не был взломан. Для сообщества это тревожный звонок: репутация сети строится не только на надежности базового слоя, но и на качестве софта, который на нем работает. Восстановление доверия после такой утечки может занять месяцы, и это урок для всех DeFi-проектов, которые экономят на аудите кода генерации ключей.