Атака на SecondFi: 16 млн ADA похищены из-за критической уязвимости в генерации ключей

23 июня команда SecondFi зафиксировала серьезную уязвимость в собственном кошельке на блокчейне Cardano. Платформа была немедленно переведена в режим безопасного обслуживания, что временно заблокировало все пользовательские операции. Разработчики приступили к экстренной оценке масштабов инцидента.
Уже на следующий день, 24 июня, стало известно, что злоумышленники сумели вывести приблизительно 16 млн ADA с 374 адресов. По моим расчетам, исходя из курса ADA около $0,146 на момент атаки, прямой ущерб составил порядка $2,4 млн. Однако, как показывает практика, косвенные потери для репутации проекта и доверия пользователей могут быть многократно выше.
Команда SecondFi заявила, что для предотвращения полной потери средств были активированы экстренные протоколы защиты. Оставшиеся 129 млн ADA были оперативно перемещены к независимому квалифицированному стороннему кастодиану. Эти средства хранятся в интересах пострадавших адресов, однако механизм их возврата пока не раскрыт.
Детальный анализ инцидента
В ходе расследования выяснилось, что уязвимость находится на уровне адреса. Риск возникает в момент подписания транзакции. Это означает, что простое перемещение средств на другой кошелек или платформу не устраняет угрозу. Именно поэтому SecondFi настоятельно рекомендовала пользователям не восстанавливать сид-фразу в любом другом кошельке на базе Cardano.
По данным команды, было зафиксировано четыре события вывода средств. Три из них — действия злоумышленников. Четвертое, предположительно, было инициировано самой командой для экстренной защиты активов. Прямых подтверждений этому нет, но логика экстренного реагирования это допускает.
Генеральный директор Immunefi Митчелл Амадор указал на фундаментальную причину: программное обеспечение SecondFi раскрывало приватные ключи, которые само же и генерировало. Проблема кроется не в блокчейне Cardano, а в модуле кошелька, отвечающем за создание ключей. Это классический пример ошибки на уровне приложения, а не протокола.
Позиция ключевых игроков экосистемы
Основатель Cardano Чарльз Хоскинсон поспешил дистанцироваться от инцидента. Он подчеркнул, что SecondFi не является продуктом Input Output Global (IOG), и у компании нет никаких деловых отношений с этим проектом. Хоскинсон сравнил ситуацию с обращением в Apple по поводу проблемы с продуктом Microsoft.
Однако важно отметить, что за SecondFi (ранее известным как Yoroi Wallet) стоит EMURGO — один из трех сооснователей блокчейна Cardano. EMURGO в своей документации позиционирует себя как компанию, стимулирующую коммерческое внедрение технологии. Этот факт создает неоднозначную ситуацию: формально IOG не несет ответственности, но стратегический партнер экосистемы допустил критическую ошибку.
Мой анализ: Данный инцидент — очередное напоминание о том, что безопасность в DeFi и криптовалютах — это не только надежность протокола, но и качество кода прикладного программного обеспечения. Утечка приватных ключей из-за ошибки в генераторе — это фатальный недостаток, который подрывает доверие ко всему сегменту. Пока экосистема Cardano демонстрирует устойчивость на уровне L1, подобные инциденты на уровне приложений могут серьезно замедлить ее массовое принятие. Рынок уже давно требует от разработчиков не просто функциональности, а бескомпромиссной безопасности на всех уровнях стека.