EMURGO запускает процесс возврата средств жертвам взлома SecondFi: сроки и детали
EMURGO, одна из ключевых организаций-основателей экосистемы Cardano, объявила о начале процедуры возврата средств пользователям кошелька SecondFi, пострадавшим от масштабного эксплойта. Генеральный директор компании Филлип Пон подтвердил, что механизм компенсации уже разработан, а первые выплаты начнутся ориентировочно через две недели. По данным on-chain анализа, инцидент затронул 374 адреса, с которых было выведено около 16 миллионов ADA.
На предстоящую неделю команда запланировала техническую реализацию механизма возврата, после чего последует неделя тщательного тестирования. Пользователям SecondFi настоятельно рекомендовано не совершать никаких операций с активами до получения официальных инструкций. Отдельно подчеркивается, что сервис никогда не запрашивает приватные ключи, сид-фразы или доступ к кошелькам — любые подобные сообщения являются мошенническими.
Хронология атаки и масштабы ущерба
По данным команды SecondFi, в период с 21 по 23 июня произошло четыре инцидента с несанкционированным выводом средств. В трех случаях внешние злоумышленники вывели около 16 миллионов ADA (приблизительно $2,4 миллиона на момент атаки) с 374 адресов. В четвертом эпизоде команда экстренно перевела около 129 миллионов ADA независимому кастодиану, чтобы изолировать активы от дальнейших посягательств. Проверка сохранности этих средств осуществляется внешней аудиторской фирмой.
SecondFi также идентифицировала два кошелька атакующих: один связан со 171 скомпрометированным адресом, второй — с 203. Около 4 миллионов ADA, имеющих отношение к краже, находятся на помеченном сборочном адресе и остаются под наблюдением. Правоохранительные органы уже уведомлены о произошедшем.
Технические детали: версия Tibane Labs
Отдельное независимое расследование провела компания Tibane Labs. Согласно их отчету, корень проблемы кроется не в повторном использовании nonce, а в уязвимости, связанной с ошибкой подписи Ed25519. Tibane Labs утверждает, что 8 июня неаудированный SDK trantor, опубликованный в реестре npm независимым разработчиком, заменил ранее использовавшийся проверенный модуль подписи от EMURGO. По оценке экспертов, для восстановления приватного ключа было достаточно всего одной подписанной транзакции.
Примечательно, что EMURGO до сих пор не опубликовала полный технический постмортем инцидента и публично не ответила на выводы Tibane Labs. Кошелек SecondFi (до апреля известный как Yoroi) долгое время оставался одним из основных инструментов в экосистеме Cardano, что делает данный инцидент особенно болезненным для сообщества.
Мой профессиональный комментарий: Ситуация вокруг SecondFi — яркий пример того, как даже уважаемые проекты с многолетней историей могут быть уязвимы перед неожиданными векторами атак. Отсутствие публичного постмортема и молчание в ответ на детальный отчет Tibane Labs вызывает вопросы. Пользователям Cardano стоит внимательно отнестись к выводам независимых экспертов и в будущем уделять первостепенное внимание аудиту используемых SDK, особенно от сторонних разработчиков. Восстановление доверия после такого инцидента потребует от EMURGO не только финансовой компенсации, но и максимальной прозрачности.