Злом SecondFi: реальна шкода екосистеми Cardano може виявитися в рази більшою за заявлену
Екосистема Cardano зазнала серйозного удару по репутації. Проєкт SecondFi, раніше відомий як популярний гаманець Yoroi, підтвердив факт експлуатації критичної вразливості у власному програмному забезпеченні для генерації гаманців. За попередніми даними команди, прямий збиток становить близько 16 млн ADA (приблизно $2,4 млн). Однак мій аналіз on-chain даних та оцінки незалежних експертів вказують на те, що реальні втрати користувачів можуть перевищити $20 млн.
У ході розслідування з'ясувалося, що брехня була закладена в пропрієтарному коді, який відповідає за створення приватних ключів. Через дефект у генераторі псевдовипадкових чисел усі гаманці, створені через це ПЗ, виявилися скомпрометованими. Зловмисник отримав можливість передбачати та відновлювати ключі, що призвело до спустошення коштів. На даний момент підтверджено, що під загрозою перебувають близько 178 гаманців, але це число може бути неостаточним.
Розбіжність в оцінках: чому $2,4 млн — це лише початок
Засновник компанії з безпеки SlowMist, Юй Сянь, провів незалежний аналіз руху коштів. Його дані свідчать про те, що масштаб катастрофи значно серйозніший. За його оцінкою, два відстежені адреси зловмисника можуть бути пов'язані з втратами до 129 млн ADA та інших токенів. Це у вісім разів перевищує оцінку самого проєкту.
Таке колосальне розходження пояснюється просто: частина скомпрометованих гаманців ще не була спустошена на момент першого звіту SecondFi. Це означає, що атакуючий, маючи доступ до ключів, може завдати удару в будь-який момент. Користувачі, які не встигли вивести кошти, сидять на «бомбі уповільненої дії».
Удар по репутації Cardano
Важливо розуміти контекст. SecondFi — це ребрендинг гаманця Yoroi, розробленого компанією EMURGO, одним із трьох співзасновників Cardano. Йороєм користувалися понад мільйон власників ADA. Це не якийсь анонімний DeFi-проєкт, а флагманський продукт екосистеми. Тому репутаційні наслідки тут набагато серйозніші, ніж при зламі маловідомого протоколу.
Команда SecondFi вже призупинила роботу сервісу, зробила знімок балансів та закликала всіх користувачів, які створювали гаманець через їхнє ПЗ, негайно перевести активи на інші сервіси. Розслідування триває, і точна сума збитку буде розкрита після завершення технічного аудиту сторонньою компанією.
Коментар аналітика: Цей інцидент — суворе нагадування про те, що навіть «легкі» гаманці від довірених розробників несуть ризики. Покладатися виключно на репутацію бренду — помилка. Кожен користувач зобов'язаний вимагати публічних аудитів коду генерації ключів. Поки екосистема Cardano не виробить суворі стандарти безпеки для своїх «якірних» проєктів, подібні інциденти підриватимуть довіру до всієї мережі.