Эксплойт SecondFi на Cardano: 16 млн ADA похищено, экосистема в напряжении
23 июня команда SecondFi объявила о критической уязвимости в своем кошельке на блокчейне Cardano, немедленно переведя платформу в режим безопасного обслуживания. Пользователи временно лишились возможности проводить транзакции через интерфейс, пока разработчики оценивали масштаб инцидента. Уже на следующий день, 24 июня, стало известно о похищении приблизительно 16 млн ADA с 374 адресов. По моим оценкам, исходя из курса ADA около $0,146 на момент атаки, ущерб составляет порядка $2,4 млн.
Экстренные меры и первопричина
Чтобы предотвратить полную потерю активов, команда SecondFi запустила экстренные протоколы защиты. Было заявлено о сохранении около 129 млн ADA, которые направляются независимому квалифицированному стороннему кастодиану в интересах пострадавших адресов. В ходе расследования выяснилось, что уязвимость находится на уровне адресов и связана с процессом подписания транзакций. Это означает, что простое восстановление сид-фразы в другом кошельке на базе Cardano не устраняет риск — злоумышленники могли скомпрометировать саму генерацию приватных ключей. SecondFi выпустила исправление для кошельков, которые не пострадали, и рекомендовала всем пользователям воздержаться от восстановления доступа через сторонние приложения.
Реакция экосистемы и позиция IOG
Инцидент вызвал волну заявлений от ключевых игроков Cardano. Генеральный директор Immunefi Митчелл Амадор отметил, что проблема кроется исключительно в программном обеспечении SecondFi, а не в блокчейне Cardano. Основатель Cardano Чарльз Хоскинсон поспешил дистанцировать Input Output Global (IOG) от происшествия, подчеркнув, что компания не имеет никакого отношения к SecondFi — ни доли, ни контроля, ни деловых связей. Примечательно, что за SecondFi (ранее известным как Yoroi Wallet) стоит EMURGO, один из сооснователей экосистемы Cardano. Это создает интересный прецедент: формально IOG и EMURGO — независимые структуры, но для сообщества они являются столпами одной экосистемы.
Анализ и выводы
Данный случай — не просто очередной эксплойт, а серьезный сигнал для всей индустрии самохранимых кошельков. Взлом на уровне генерации ключей подрывает саму концепцию «не ваши ключи — не ваши монеты». Пока SecondFi работает над возвратом средств, экосистема Cardano переживает момент проверки на прочность. Напомню, что ранее ончейн-детектив ZachXBT уже критиковал модель функционирования Cardano, называя ее «схемой обогащения инсайдеров». Этот инцидент лишь подливает масла в огонь дискуссий о безопасности и децентрализации. Мой профессиональный совет: всегда проверяйте происхождение и аудит кода кошельков, особенно тех, которые генерируют ключи, а не просто хранят их. Рынок не прощает халатности.