Новини криптоміра

24.06.2026
08:11

Злом SecondFi в екосистемі Cardano: реальні втрати можуть сягнути $20 млн

Проєкт SecondFi, що працює в екосистемі Cardano, підтвердив факт серйозного інциденту з безпекою. Причиною стала вразливість у власному програмному забезпеченні для генерації гаманців. За попередніми оцінками команди, прямий збиток становить близько 16 млн ADA (приблизно $2,4 млн), однак дані незалежних аналітиків вказують на те, що реальні втрати можуть перевищити $20 млн.

У ході внутрішнього розслідування було встановлено, що прогалина виникла в розробленому компанією генераторі гаманців Cardano. Команда вже провела ончейн-аналіз для оцінки масштабу збитку та залучила сторонню компанію з блокчейн-безпеки для проведення незалежного технічного аудиту.

Розбіжність в оцінках збитку

Юй Сянь, засновник компанії з безпеки SlowMist, вважає, що реальний збиток може виявитися значно вищим за офіційні цифри. Його аналіз руху коштів зловмисника та активності гаманців показує, що теоретичні втрати користувачів здатні перевищити $20 млн.

За оцінкою Cos, з інцидентом можуть бути пов'язані втрати до 129 млн ADA та інших токенів — це багаторазово перевищує початкові розрахунки самого проєкту. Він зазначив, що відстежив дві ймовірні адреси зловмисника.

Розрив приблизно у вісім разів між оцінками SlowMist та SecondFi залишається значним. Це може означати, що частина скомпрометованих гаманців ще не спустошена, але залишається вразливою. Поки не всі активи виведені, загроза для користувачів зберігається.

Чим небезпечна вразливість і що робити користувачам

Загроза стосується фундаментального принципу самостійного зберігання активів. Вразливе ПЗ генерувало приватні ключі з передбачуваною випадковістю, через що під загрозою опинилися всі гаманці, створені через цю програму. За початковою оцінкою, постраждали близько 178 гаманців.

SecondFi — це перейменований продукт Yoroi, один із найраніших і найпопулярніших «легких» гаманців Cardano, яким користувалися понад мільйон власників ADA. Його розробила EMURGO, одна з трьох компаній-засновниць Cardano, провівши ребрендинг на початку червня 2026 року. Таким чином, репутаційний удар від атаки відчувається сильніше, ніж при інцидентах з анонімними проєктами.

Проєкт призупинив роботу, перейшов у режим обслуговування та зробив знімок балансів користувачів. Команда закликала всіх, хто створював гаманець через її ПЗ, негайно перевести активи в гаманці інших сервісів. SecondFi продовжує розслідування, а точну суму втрат обіцяє розкрити після завершення технічного аудиту.

Мій аналіз: Цей інцидент — чергове нагадування про те, що навіть шановані проєкти з багаторічною історією можуть містити критичні помилки в коді. Передбачувана генерація ключів — це база, яку не повинні пропускати ні аудитори, ні розробники. Користувачам Cardano варто переглянути свої підходи до безпеки: довіряти свої активи виключно апаратним гаманцям або перевіреним, багаторазово аудитованим рішенням з відкритим вихідним кодом. Поки індустрія не виробить єдині стандарти безпеки для «легких» гаманців, такі атаки повторюватимуться.