Новини криптоміра

24.06.2026
08:58

Злом SecondFi на Cardano: реальні збитки можуть перевищити $20 млн

Екосистема Cardano зіткнулася з серйозним інцидентом безпеки: проєкт SecondFi, раніше відомий як гаманець Yoroi, повідомив про злам, спричинений вразливістю у власному програмному забезпеченні для генерації гаманців. За попередніми даними команди, збитки оцінюються приблизно в 16 млн ADA (близько $2,4 млн), однак незалежний аналіз вказує на те, що реальні втрати можуть бути значно вищими — понад $20 млн.

Інцидент торкнувся одного з найпопулярніших «легких» гаманців в екосистемі Cardano, яким користувалися понад мільйон власників ADA. Вразливість полягала в тому, що програмне забезпечення генерувало приватні ключі з передбачуваною випадковістю, що зробило всі створені через нього гаманці потенційно вразливими. Спочатку повідомлялося про 178 скомпрометованих гаманців, але реальний масштаб може бути набагато ширшим.

Розбіжність в оцінках: $2,4 млн чи $20 млн?

Засновник компанії з безпеки SlowMist, Юй Сянь, провів власний аналіз руху коштів зловмисника та активності гаманців. Його висновки кардинально відрізняються від даних SecondFi. За його оцінкою, реальні втрати користувачів теоретично здатні перевищити $20 млн. Більше того, він відстежив дві ймовірні адреси зловмисника та вважає, що з інцидентом можуть бути пов'язані втрати до 129 млн ADA та інших токенів — це багаторазово перевищує початкові розрахунки самого проєкту.

Розрив приблизно у вісім разів між оцінками команди та незалежних експертів залишається значним. Це може означати, що частина скомпрометованих гаманців ще не спустошена, але залишається вразливою. Ситуація ускладнюється тим, що SecondFi — це перейменований продукт Yoroi, розроблений компанією EMURGO, однією з трьох компаній-засновників Cardano. Ребрендинг відбувся на початку червня 2026 року, тому репутаційний удар від атаки відчувається сильніше, ніж при інцидентах з анонімними проєктами.

Що робити користувачам?

Проєкт призупинив роботу, перейшов у режим обслуговування та зробив знімок балансів користувачів. Команда закликала всіх, хто створював гаманець через її ПЗ, негайно перевести активи в гаманці інших сервісів. Розслідування триває, а точну суму втрат обіцяють розкрити після завершення технічного аудиту із залученням сторонньої компанії з блокчейн-безпеки.

Мій аналіз: Цей інцидент — чергове нагадування про те, що навіть перевірені часом продукти з багатомільйонною аудиторією не застраховані від критичних вразливостей. Розрив в оцінках збитків викликає тривогу: якщо дані SlowMist вірні, то ми маємо справу з одним із найбільших зламів в екосистемі Cardano. Користувачам варто негайно діяти, не чекаючи офіційних результатів аудиту.