EMURGO анонсирует возврат средств жертвам взлома SecondFi: старт выплат через две недели
Ситуация вокруг кошелька SecondFi, ранее известного как Yoroi, начинает проясняться. Генеральный директор EMURGO Филлип Пон официально заявил, что компания нашла техническое решение для возврата средств пострадавшим пользователям. По его словам, выплаты планируется запустить ориентировочно через две недели: первую неделю команда посвятит разработке механизма возврата, а вторую — его тщательному тестированию.
Напомню, что эксплойт затронул 374 адреса, с которых было выведено около 16 млн ADA. На момент инцидента (21–23 июня) эта сумма оценивалась примерно в $2,4 млн. Однако, как выяснилось, это лишь часть истории. В ходе атаки злоумышленники действовали в три этапа, а в четвертом эпизоде команда SecondFi экстренно перевела порядка 129 млн ADA независимому кастодиану, чтобы изолировать активы. Эти средства сейчас проходят проверку внешней аудиторской фирмой.
Техническая подоплека: не повторное использование nonce, а ошибка подписи
Особого внимания заслуживает независимый отчет Tibane Labs. Вопреки первоначальным предположениям, аналитики компании пришли к выводу, что корень проблемы кроется не в повторном использовании числа nonce, а в критической ошибке подписи Ed25519. Согласно их данным, 8 июня неаудированный SDK trantor, опубликованный в npm независимым разработчиком, заменил ранее использовавшийся проверенный модуль подписи EMURGO. Это означает, что для восстановления приватного ключа злоумышленникам было достаточно всего одного подписанного сообщения.
Примечательно, что EMURGO до сих пор не опубликовала полный технический постмортем и публично не ответила на выводы Tibane Labs. Это вызывает вопросы у сообщества, учитывая, что SecondFi (Yoroi) долгое время оставался одним из основных кошельков в экосистеме Cardano, а сама EMURGO является одной из трех организаций-основателей сети.
Меры предосторожности и текущий статус
SecondFi настоятельно просит пользователей не переводить активы до официальных инструкций и предупреждает о волне мошеннических сообщений. Сервис подчеркивает, что никогда не запрашивает приватные ключи, сид-фразы и доступ к кошелькам. На данный момент известно о двух кошельках атакующих: один связан со 171 скомпрометированным адресом, второй — с 203. Около 4 млн ADA, связанных с кражей, находятся на помеченном адресе сбора и остаются под наблюдением.
Этот инцидент — очередное напоминание о том, насколько хрупкой может быть безопасность даже в зрелых экосистемах. Взлом SecondFi произошел на фоне антирекорда криптоиндустрии во втором квартале 2026 года: 83 инцидента с общим ущербом $755,3 млн. Лично я считаю, что отсутствие прозрачного постмортема со стороны EMURGO — серьезный сигнал для держателей ADA. Инвесторам стоит внимательно следить за развитием событий, особенно за тем, как компания будет выстраивать доверие после такого удара по репутации.