Взлом SecondFi: 16 миллионов ADA украдены из-за критической уязвимости кошелька

Экосистема Cardano столкнулась с серьезным инцидентом безопасности. 23 июня команда SecondFi, ранее известная как Yoroi Wallet, объявила о проблеме в своем кошельке и немедленно перевела платформу в режим безопасного обслуживания. Пользователи временно потеряли возможность проводить транзакции через интерфейс, пока разработчики оценивали масштабы ущерба.
Уже на следующий день, 24 июня, SecondFi подтвердила: злоумышленники вывели приблизительно 16 миллионов ADA с 374 адресов. По моим расчетам, исходя из курса ADA около $0,146 на момент атаки, ущерб составил порядка $2,4 миллиона. Это серьезный удар по доверию к платформе, которая позиционировалась как один из ключевых инструментов для самоcustodial-финансов на Cardano.
Команда SecondFi заявила, что в ходе экстренных мер удалось защитить оставшиеся 129 миллионов ADA. Эти средства сейчас направляются к независимому квалифицированному стороннему кастодиану для хранения в интересах пострадавших адресов. Однако ключевой вопрос — как именно произошла утечка.
Природа уязвимости: проблема на уровне адресов
Как выяснилось, проблема кроется не в самом блокчейне Cardano, а в модуле генерации ключей кошелька SecondFi. Генеральный директор Immunefi Митчелл Амадор пояснил, что программное обеспечение проекта раскрывало приватные ключи, которые оно же и генерировало. Это означает, что любой пользователь, подписавший транзакцию, мог быть скомпрометирован.
Вот почему SecondFi настоятельно рекомендовала не восстанавливать сид-фразу в других кошельках на базе Cardano — риск сохраняется, пока корень проблемы не устранен. Всего было зафиксировано четыре события вывода средств: три от злоумышленников и одно, вероятно, от самой команды для защиты активов.
Позиция IOG и Чарльза Хоскинсона
Основатель Cardano Чарльз Хоскинсон поспешил дистанцироваться от инцидента. В своем заявлении он подчеркнул, что SecondFi не является продуктом Input Output Global (IOG). «Мы не имеем никакого отношения к SecondFi. У нас нет доли, контроля, собственности или деловых отношений», — заявил Хоскинсон, сравнив ситуацию с обращением в Apple по поводу проблемы с продуктом Microsoft.
Однако стоит отметить, что за SecondFi стоит EMURGO — один из сооснователей блокчейна Cardano, который описывает себя как компанию, стимулирующую коммерческое внедрение технологии. Таким образом, хотя IOG формально не несет ответственности, инцидент бросает тень на всю экосистему.
Моя профессиональная оценка: этот взлом — очередной тревожный сигнал для индустрии. Уязвимость на уровне генерации ключей — это фундаментальный дефект, который может повториться в других проектах. Пользователям стоит пересмотреть свои подходы к безопасности и, возможно, избегать кошельков с закрытым исходным кодом или недостаточно проверенной архитектурой. Cardano, безусловно, сильный блокчейн, но такие инциденты подрывают доверие даже к самым надежным экосистемам.