Злом SecondFi в екосистемі Cardano: реальні збитки можуть перевищити $20 млн
Проєкт SecondFi, ключовий гравець в інфраструктурі Cardano, зіткнувся з серйозним інцидентом безпеки. Початкова оцінка команди вказує на втрату близько 16 млн ADA (приблизно $2,4 млн), однак незалежний аналіз, проведений експертами з блокчейн-безпеки, показує, що реальні збитки можуть бути значно масштабнішими — до $20 млн і вище.
Природа вразливості
Корінь проблеми криється у власному програмному забезпеченні SecondFi для генерації гаманців. Розслідування виявило критичну прогалину: використовуваний алгоритм створював приватні ключі з передбачуваною випадковістю. Це означає, що зловмисник, проаналізувавши механізм генерації, міг обчислити ключі до будь-якого гаманця, створеного через це ПЗ. Попередньо, під загрозою опинилися близько 178 гаманців.
Розбіжність в оцінках: $2,4 млн чи $20 млн?
Команда SecondFi поки оцінює збитки в 16 млн ADA, однак експерти з SlowMist, проаналізувавши рух коштів, дійшли інших висновків. За їхніми даними, з інцидентом можуть бути пов'язані втрати до 129 млн ADA та інших токенів. Розрив в оцінках майже у вісім разів змушує припускати, що частина скомпрометованих гаманців ще не спустошена, але залишається вразливою. Фактично, ми спостерігаємо ситуацію, коли «бомба уповільненої дії» все ще активна.
Наслідки для екосистеми
SecondFi — це ребрендований продукт Yoroi, одного з найпопулярніших «легких» гаманців Cardano, розробленого компанією EMURGO. З понад мільйоном користувачів цей інцидент завдає репутаційного удару, який відчувається набагато сильніше, ніж злам анонімного DeFi-проєкту. Це прямий удар по довірі до інфраструктури самого блокчейну.
Наразі SecondFi призупинив роботу та перейшов у режим обслуговування. Команда зробила знімок балансів і закликає всіх користувачів, які створювали гаманець через їхнє ПЗ, негайно перевести активи в інші сервіси. Точна сума втрат буде розкрита після завершення технічного аудиту.
Думка експерта
Цей випадок — суворе нагадування про те, що навіть поважні та давно працюючі проєкти не застраховані від фатальних помилок у базовому коді. Інцидент з SecondFi підриває довіру до цілого класу «легких» гаманців і підкреслює критичну важливість використання апаратних рішень та холодного зберігання для значних сум. Ринок уважно стежитиме за тим, як EMURGO відновлюватиме репутацію свого продукту.