Новости криптомира

24.06.2026
17:04

Эксплойт SecondFi: 16 миллионов ADA утекли из-за уязвимости в генерации ключей

hack

23 июня команда SecondFi объявила о критической проблеме безопасности в своём кошельке на блокчейне Cardano, немедленно переведя платформу в режим безопасного обслуживания. Пользователи временно потеряли возможность проводить операции через интерфейс, пока разработчики оценивали масштаб утечки.

Уже на следующий день, 24 июня, SecondFi подтвердила, что злоумышленники вывели приблизительно 16 миллионов ADA с 374 адресов. Исходя из курса ADA около $0,146 на момент инцидента, ущерб оценивается примерно в $2,4 миллиона.

Экстренные меры и природа уязвимости

Для предотвращения полной потери средств команда SecondFi запустила экстренные протоколы защиты. «Были приняты меры для защиты доступных 129 миллионов ADA. Эти средства направляются независимому квалифицированному стороннему кастодиану, где они хранятся в интересах затронутых адресов», — заявили представители проекта.

Анализ показал, что в ходе инцидента произошло четыре события вывода средств. Три из них были совершены злоумышленниками, а четвёртое, вероятно, связано с перемещением упомянутых 129 миллионов ADA самой командой для защиты активов. Примечательно, что SecondFi прямо не раскрыла детали этого перемещения.

Генеральный директор Immunefi Митчелл Амадор отметил, что проблема кроется в программном обеспечении самого проекта: оно раскрывало приватные ключи, которые само же генерировало. Таким образом, уязвимость затронула не блокчейн Cardano, а модуль кошелька, отвечающий за создание ключей. Именно поэтому SecondFi настоятельно рекомендовала пользователям не восстанавливать сид-фразу в других кошельках на базе Cardano — риск сохраняется.

Позиция IOG и реакция основателя

Основатель Cardano Чарльз Хоскинсон поспешил дистанцироваться от инцидента. В своём заявлении он подчеркнул: «Мы не имеем никакого отношения к SecondFi. У нас нет доли, контроля, собственности или деловых отношений. Это всё равно что спрашивать Apple, будут ли они решать проблему с продуктом Microsoft». Он также отметил, что IOG не писала код для SecondFi и не связана с ним.

Важно отметить, что за SecondFi (ранее известным как Yoroi Wallet) стоит EMURGO — один из ключевых игроков в экосистеме Cardano. В своей документации EMURGO описывает себя как сооснователя блокчейна, который стимулирует коммерческое внедрение технологии. Однако Хоскинсон ясно дал понять, что IOG не контролирует EMURGO и не может говорить от её имени.

Этот инцидент вновь поднимает вопросы безопасности в DeFi-секторе. На мой взгляд, главный урок здесь — даже уважаемые проекты, стоящие за инфраструктурными решениями, могут допускать фатальные ошибки на уровне кода. Пользователям Cardano стоит быть особенно бдительными и проверять надёжность используемых кошельков, особенно если они генерируют ключи. В то время как основатели разводят руками, ответственность за сохранность активов всё равно ложится на конечного пользователя.