Злом SecondFi на Cardano: Реальна шкода може перевищити $20 млн — аналіз Cryptalist
Екосистема Cardano зіткнулася з серйозним інцидентом безпеки. Проєкт SecondFi, раніше відомий як популярний гаманець Yoroi, повідомив про вразливість у власному програмному забезпеченні для генерації гаманців. Хоча команда проєкту оцінює збитки у 16 млн ADA (близько $2,4 млн), мій незалежний аналіз даних блокчейну вказує на набагато масштабніші втрати, які можуть перевищити $20 млн.
Під час розслідування було виявлено критичну прогалину в алгоритмі генерації приватних ключів. Програмне забезпечення SecondFi створювало ключі з передбачуваною випадковістю, що дозволило зловмиснику обчислити та скомпрометувати близько 178 гаманців. Команда проєкту підтвердила проблему, проводить незалежний технічний аудит безпеки та призупинила роботу сервісу, перейшовши в режим обслуговування.
Розбіжність в оцінці збитків
Засновник компанії з безпеки SlowMist, Юй Сянь, надав дані, які кардинально розходяться з оцінкою самого проєкту. Аналіз руху коштів та активності гаманців зловмисника показує, що теоретичні втрати користувачів здатні перевищити $20 млн. Більше того, за його даними, з інцидентом можуть бути пов'язані втрати до 129 млн ADA та інших токенів — це майже у вісім разів вище початкової оцінки SecondFi.
Такий розрив може означати, що частина скомпрометованих гаманців ще не спустошена, але залишається вразливою. Це класичний сценарій, коли атакуючий не поспішає виводити всі кошти, щоб не привертати зайвої уваги або вичікувати більш вигідного моменту для конвертації.
Репутаційний удар та наслідки
Важливо розуміти, що SecondFi — це ребрендована версія Yoroi, одного з найстаріших і найпопулярніших «легких» гаманців Cardano, розробленого компанією EMURGO. Атака на такий шанований і широко використовуваний продукт завдає набагато сильнішого репутаційного удару всій екосистемі, ніж інциденти з анонімними DeFi-проєктами.
Команда SecondFi закликала всіх користувачів, які створювали гаманець через їхнє ПЗ, негайно перевести кошти на інші сервіси. Точна сума втрат буде розкрита після завершення технічного аудиту.
Думка експерта: Цей інцидент — суворе нагадування про те, що навіть перевірені часом рішення не застраховані від фатальних помилок у коді. Користувачам Cardano варто тимчасово утриматися від використання будь-яких «легких» гаманців, згенерованих через SecondFi, і перейти на апаратні рішення або самостійно згенеровані гаманці з перевіреною seed-фразою. Поки не завершено аудит, довіра до платформи має бути зведена до нуля.