Взлом SecondFi на Cardano: 16 миллионов ADA утекли из-за уязвимости в генерации ключей
23 июня команда SecondFi была вынуждена перевести свою платформу на блокчейне Cardano в режим безопасного обслуживания после обнаружения критической проблемы безопасности. Пользователи временно потеряли возможность проводить транзакции через интерфейс, пока разработчики оценивали масштаб утечки.
Уже на следующий день, 24 июня, стало известно, что злоумышленники успели вывести около 16 миллионов ADA с 374 адресов. По моим оценкам, исходя из курса ADA на тот момент (~$0,146), ущерб составил приблизительно $2,4 миллиона. Это серьезный удар по доверию к проекту, который позиционировал себя как надежный кошелек.
Экстренные меры и масштаб проблемы
Для предотвращения полной потери средств команда SecondFi запустила экстренные протоколы защиты. Они смогли заблокировать и перенаправить оставшиеся 129 миллионов ADA независимому квалифицированному кастодиану. Как заявили разработчики, эти средства будут храниться в интересах пострадавших адресов.
Расследование показало, что было совершено четыре события по выводу средств. Три из них — работа злоумышленников, а четвертое, скорее всего, было инициировано самой командой для перемещения защищенных активов. SecondFi прямо не подтвердила этот факт, но логика подсказывает именно такое развитие событий.
Корень уязвимости: приватные ключи под угрозой
Главный вывод, который я делаю из этого инцидента: уязвимость кроется на уровне генерации приватных ключей. Как отметил генеральный директор Immunefi Митчелл Амадор, программное обеспечение SecondFi раскрывало ключи, которые само же и генерировало. Это фундаментальная ошибка в архитектуре безопасности.
Важно подчеркнуть: проблема не затрагивает блокчейн Cardano в целом. Она локализована именно в модуле кошелька SecondFi, отвечающем за создание ключей. Именно поэтому команда настоятельно рекомендовала пользователям НЕ восстанавливать свою сид-фразу в других кошельках на базе Cardano — риск компрометации сохраняется.
Позиция IOG и EMURGO: дистанцирование и ответственность
Основатель Cardano Чарльз Хоскинсон поспешил дистанцировать свою компанию Input Output Global (IOG) от инцидента. Он заявил, что SecondFi не является продуктом IOG, и у них нет никаких деловых отношений или контроля над проектом. «Мы не писали этот код и не связаны с ним», — подчеркнул Хоскинсон.
Однако важно понимать контекст. За SecondFi (ранее известным как Yoroi Wallet) стоит EMURGO — один из трех ключевых основателей Cardano, наряду с IOG и Cardano Foundation. EMURGO описывает себя как сооснователя блокчейна, стимулирующего его коммерческое внедрение. Таким образом, хотя IOG формально не несет ответственности, инцидент бросает тень на всю экосистему, особенно на фоне недавних событий, когда «спящий» кошелек случайно потерял $6,05 миллиона на неликвидном пуле.
Мой анализ: Этот взлом — не просто техническая неудача, а системный сбой в управлении рисками. Проект, который претендует на роль основного кошелька для Cardano, не должен допускать утечки приватных ключей на уровне генерации. Пользователям стоит пересмотреть свои риски при использовании любых некастодиальных решений, особенно если они связаны с молодыми командами.