Эксплойт SecondFi на Cardano: утечка 16 млн ADA и кризис доверия к кошельку

23 июня команда SecondFi объявила о критической уязвимости в своем кошельке на блокчейне Cardano, немедленно переведя платформу в режим безопасного обслуживания. Пользователи временно лишились возможности проводить операции через интерфейс, пока разработчики оценивали масштаб инцидента.
На следующий день, 24 июня, SecondFi подтвердила: злоумышленники вывели приблизительно 16 млн ADA с 374 адресов. Ущерб, по моим расчетам, составил около $2,4 млн при курсе ADA около $0,146 на момент атаки. Это серьезный удар по репутации проекта, который позиционировался как надежный инструмент для работы с Cardano.
Экстренные меры и масштаб проблемы
Чтобы предотвратить полную потерю средств, команда SecondFi запустила экстренные протоколы, защитив доступные 129 млн ADA. Как заявили разработчики, эти средства направляются независимому квалифицированному стороннему кастодиану для хранения в интересах пострадавших адресов. Однако ситуация остается напряженной: было зафиксировано четыре события вывода средств. Три из них — действия хакеров, а четвертое, вероятно, связано с перемещением самой командой около 129 млн ADA для защиты активов. Прямого подтверждения этому от SecondFi не последовало.
Митчелл Амадор, генеральный директор Immunefi, указал на корень проблемы: программное обеспечение проекта раскрыло приватные ключи, которые само генерировало. Это говорит о фундаментальном дефекте в модуле создания ключей, а не в самом блокчейне Cardano. Поэтому SecondFi настоятельно рекомендовала пользователям не восстанавливать сид-фразу в других кошельках на базе Cardano — риск сохраняется.
Реакция экосистемы и позиция IOG
Чарльз Хоскинсон, основатель Cardano, поспешил дистанцировать Input Output Global (IOG) от инцидента. Он заявил, что SecondFi не является продуктом IOG, и у компании нет доли, контроля или деловых отношений с этим проектом. «Мы не писали этот код и не связаны с ним», — подчеркнул Хоскинсон. Напомню, что за SecondFi (ранее Yoroi Wallet) стоит EMURGO — один из ключевых игроков в экосистеме Cardano, который описывает себя как сооснователя блокчейна. Однако Хоскинсон ясно дал понять, что IOG не контролирует EMURGO и не может говорить от ее имени.
Этот инцидент поднимает серьезные вопросы о безопасности кошельков, даже тех, которые поддерживаются крупными экосистемными игроками. Ранее, в ноябре 2025 года, мы уже видели, как «спящий» Cardano-кошелек случайно потерял $6,05 млн из-за неликвидного пула. А ончейн-детектив ZachXBT ранее называл модель функционирования Cardano «схемой обогащения инсайдеров». Теперь же мы имеем дело с прямой компрометацией приватных ключей.
Мой анализ: Этот эксплойт — не просто технический сбой, а сигнал о системных рисках в управлении ключами на платформах, которые претендуют на роль «следующего поколения» DeFi. Пока SecondFi и EMURGO разбираются с последствиями, доверие пользователей к кошелькам на Cardano подорвано. Рынок будет внимательно следить за тем, как быстро и прозрачно будут возвращены средства, и какие изменения в безопасности последуют. Пока же рекомендую проявлять крайнюю осторожность при использовании любых неаудированных кошельков.