Эксплойт SecondFi: из кошельков похищено 16 млн ADA — детали инцидента и реакция экосистемы Cardano

23 июня команда SecondFi зафиксировала критическую уязвимость в собственном кошельке на блокчейне Cardano. В ответ на инцидент платформа была незамедлительно переведена в режим безопасного обслуживания, приостановив все операции через интерфейс до выяснения масштабов атаки.
Уже на следующий день, 24 июня, стало известно, что злоумышленники успели вывести около 16 миллионов ADA с 374 адресов. По моим оценкам, исходя из курса ADA на момент инцидента (около $0,146), ущерб составил примерно $2,4 миллиона. Это серьёзный удар по доверию к сервису, но, к счастью, не фатальный для всего блокчейна.
В ходе экстренных мер команде SecondFi удалось защитить оставшиеся 129 миллионов ADA. Эти средства были оперативно направлены независимому квалифицированному стороннему кастодиану для сохранности в интересах пострадавших пользователей. Разработчики уже выявили первопричину взлома и выпустили исправление для кошельков, не затронутых атакой.
Анатомия атаки и угроза приватным ключам
По данным расследования, было зафиксировано четыре события вывода средств. Три из них совершили злоумышленники, а четвёртое, вероятно, было инициировано самой командой для перемещения защищённых активов. Генеральный директор Immunefi Митчелл Амадор отметил, что уязвимость кроется в программном обеспечении проекта, которое раскрывало приватные ключи, генерируемые им же. Проблема затронула не сам блокчейн Cardano, а модуль кошелька, отвечающий за создание ключей. Именно поэтому SecondFi настоятельно рекомендовала пользователям не восстанавливать сид-фразу в других кошельках на базе Cardano — риск компрометации сохранялся.
Реакция лидеров экосистемы
Основатель Cardano Чарльз Хоскинсон поспешил дистанцировать свою компанию Input Output Global (IOG) от инцидента. Он подчеркнул, что SecondFi не является продуктом IOG, и у них нет доли, контроля или деловых отношений. «Мы не писали этот код и не связаны с ним», — заявил Хоскинсон, сравнив ситуацию с вопросом к Apple об устранении проблемы в продукте Microsoft.
Стоит отметить, что за SecondFi (ранее известным как Yoroi Wallet) стоит EMURGO — один из ключевых игроков и сооснователей блокчейна Cardano. EMURGO описывает себя как компанию, стимулирующую коммерческое внедрение технологии блокчейн. Однако, как показал этот инцидент, даже близость к основателям не гарантирует безупречной безопасности кода.
Мой анализ: Этот взлом — очередное напоминание о том, что в DeFi и самохранимых кошельках безопасность кода имеет первостепенное значение. Уязвимость на уровне генерации ключей — это бомба замедленного действия, которая может затронуть не один, а множество кошельков. Хотя экосистема Cardano в целом не пострадала, репутационный ущерб для SecondFi и косвенно для EMURGO может быть значительным. Инвесторам и пользователям стоит проявлять повышенную осторожность при выборе кошельков, особенно тех, которые не прошли многократный аудит кода независимыми экспертами.