Новини криптоміра

24.06.2026
09:30

Злом SecondFi на Cardano: оцінка збитків розійшлася у вісім разів — реальні втрати можуть перевищити $20 млн

Екосистема Cardano зіткнулася з серйозним інцидентом безпеки. Проєкт SecondFi, раніше відомий як популярний гаманець Yoroi, підтвердив наявність критичної вразливості у власному програмному забезпеченні для генерації гаманців. За попередніми даними команди, прямий збиток оцінюється приблизно в 16 мільйонів ADA (близько $2,4 млн), однак незалежний аналіз вказує на набагато масштабніші наслідки.

Засновник компанії з безпеки SlowMist, Юй Сянь, провів власне розслідування та дійшов висновку, що реальні втрати користувачів можуть перевищувати $20 млн. Аналіз руху коштів зловмисника та активності скомпрометованих гаманців показує, що під загрозою можуть перебувати активи на суму до 129 мільйонів ADA та інших токенів. Це майже у вісім разів перевищує початкову оцінку самого проєкту.

У чому суть вразливості та чому розбіжність у цифрах така велика?

Проблема криється в алгоритмі генерації приватних ключів. Внутрішнє ПЗ SecondFi створювало ключі з передбачуваною випадковістю, що дозволило зловмиснику обчислити їх та отримати доступ до коштів. Спочатку повідомлялося про 178 скомпрометованих гаманців, але дані SlowMist свідчать, що частина вразливих адрес ще не спустошена. Це означає, що загроза зберігається для всіх, хто створював гаманець через це ПЗ, навіть якщо кошти поки що не чіпали.

Важливо розуміти контекст: SecondFi — це ребрендований Yoroi, один із найстаріших та найпопулярніших «легких» гаманців Cardano, розроблений компанією EMURGO, одним із трьох співзасновників блокчейну. Ним користувалися понад мільйон власників ADA. Ребрендинг відбувся лише на початку червня 2026 року. Таким чином, репутаційний удар по проєкту, афілійованому з ключовими гравцями екосистеми, набагато серйозніший, ніж атака на анонімний DeFi-проєкт.

Дії проєкту та рекомендації

SecondFi негайно призупинив роботу, перейшов у режим обслуговування та зробив знімок балансів користувачів. Команда закликає всіх, хто створював гаманець через їхнє ПЗ, якомога швидше перевести активи на гаманці інших сервісів. Розслідування триває із залученням сторонніх аудиторів з блокчейн-безпеки. Точну суму втрат обіцяють розкрити після завершення технічного аудиту.

Мій аналіз: Даний інцидент — це не просто черговий злам. Це системний збій на рівні фундаментальної інфраструктури Cardano. Вразливість у коді, що відповідає за генерацію приватних ключів — це найгірший кошмар для будь-якого блокчейну. Він підриває довіру до самого принципу безпечного зберігання. Той факт, що незалежні експерти оцінюють збиток у рази вище, ніж сам проєкт, свідчить або про неповноту внутрішнього розслідування, або про спробу пом'якшити початкову паніку. У будь-якому випадку, цей випадок стане серйозним тестом для Cardano та його спільноти на здатність швидко та прозоро реагувати на критичні загрози.