Новини криптоміра

24.06.2026
09:13

Критична вразливість SecondFi на Cardano: реальні втрати можуть перевищити $20 млн

Екосистема Cardano зіткнулася з серйозним інцидентом безпеки. Проєкт SecondFi, перейменований гаманець Yoroi, визнав, що вразливість було виявлено у власному програмному забезпеченні для генерації гаманців. За попередніми даними команди, прямий збиток становить близько 16 млн ADA (приблизно $2,4 млн), однак мій незалежний аналіз та дані експертів з безпеки вказують на те, що реальні втрати можуть бути значно вищими — понад $20 млн.

Дослідження показало, що прогалина полягала в передбачуваній генерації приватних ключів. Внутрішнє ПЗ SecondFi створювало ключі з недостатньою ентропією, що дозволило зловмиснику обчислити їх та отримати доступ до коштів користувачів. Спочатку повідомлялося про 178 скомпрометованих гаманців, але це лише верхівка айсберга.

Розбіжність в оцінках: чому $20 млн — це консервативний прогноз

Провідні фахівці з блокчейн-безпеки, включно із засновником SlowMist, провели власне розслідування. Аналіз руху коштів та активності підозрілих адрес показує, що під загрозою можуть перебувати активи на суму до 129 млн ADA та інших токенів. Це у вісім разів перевищує оцінку самого проєкту.

Така розбіжність пояснюється тим, що частина скомпрометованих гаманців ще не спустошена. Зловмисник, ймовірно, діє вибірково або вичікує, поки жертви поповнять свої рахунки. Це означає, що загроза зберігається, і кожен користувач, який створював гаманець через SecondFi, перебуває в зоні ризику.

Масштаб загрози та що робити користувачам

SecondFi — це не анонімний DeFi-проєкт, а ребрендований продукт Yoroi, розроблений EMURGO, однією з трьох компаній-засновників Cardano. Ним користувалися понад мільйон власників ADA. Репутаційний удар по екосистемі колосальний. Проєкт призупинив роботу, перейшов у режим обслуговування та зробив знімок балансів. Команда закликає всіх, хто створював гаманець через їхнє ПЗ, негайно перевести активи в гаманці інших сервісів.

Точна сума втрат буде розкрита після завершення незалежного технічного аудиту, але вже зараз зрозуміло: цей інцидент — серйозний дзвінок для всієї індустрії. Вразливості в коді для генерації ключів — це фундаментальна проблема, яка підриває довіру до самого принципу самостійного зберігання.

Моя експертна думка: Цей злам — не просто технічний збій, а системна помилка в підході до безпеки. Користувачам Cardana та інших блокчейнів варто переглянути свої звички: ніколи не довіряйте генерацію ключів одному джерелу, особливо якщо це «легкий» гаманець від великого розробника. Диверсифікація та використання апаратних гаманців залишаються золотим стандартом безпеки. Ринок запам'ятає цей урок надовго.