Новини криптоміра

24.06.2026
14:30

Злом гаманця SecondFi на Cardano: викрадено 16 млн ADA, екстрені заходи не врятували всі активи

hack

23 червня команда SecondFi зафіксувала критичну вразливість у своєму гаманці на блокчейні Cardano. Платформу було негайно переведено в режим безпечного обслуговування, що тимчасово заблокувало всі користувацькі операції через інтерфейс. Розробники розпочали аналіз масштабів інциденту.

Вже наступного дня, 24 червня, стало відомо, що зловмисники встигли вивести близько 16 мільйонів ADA з 374 адрес. За моїми оцінками, виходячи з поточного курсу ADA близько $0,146, сума збитків становить приблизно $2,4 мільйона. Однак, як з'ясувалося, це не межа — команда SecondFi заявила про запуск екстрених заходів для захисту решти 129 мільйонів ADA, які були направлені на зберігання до незалежного кваліфікованого кастодіана. Ці кошти будуть розподілені серед постраждалих адрес.

Деталі експлойту та реакція екосистеми

SecondFi активно співпрацює з ключовими гравцями екосистеми Cardano, включаючи Input Output Global (IOG), Cardano Foundation, Intersect та SundaeSwap. Причину інциденту вже виявлено, і для непостраждалих гаманців випущено виправлення. Важливо зазначити, що вразливість знаходиться на рівні адреси та проявляється при підписанні транзакції. Це означає, що просто відновити сид-фразу в іншому гаманці на Cardano не вирішить проблему — ризики зберігаються.

Аналіз ланцюжка показує, що було здійснено чотири події виведення коштів. Три з них — робота зловмисників, а четверта, ймовірно, пов'язана з переміщенням 129 мільйонів ADA самою командою для захисту. Прямих підтверджень цьому від SecondFi не надходило, але логіка підказує саме такий сценарій.

Генеральний директор Immunefi Мітчелл Амадор вказав на корінь проблеми: програмне забезпечення проекту розкрило приватні ключі, які воно ж і генерувало. Це класичний випадок вразливості на рівні модуля генерації ключів, а не самого блокчейну Cardano. Це підкреслює, що атака була спрямована саме на інфраструктуру SecondFi, а не на протокол.

Позиція IOG та EMURGO

Засновник Cardano Чарльз Хоскінсон поспішив дистанціюватися від інциденту, заявивши, що SecondFi не є продуктом IOG. Він підкреслив, що у компанії немає ні частки, ні контролю, ні ділових відносин з цим проектом. Однак варто нагадати, що за SecondFi (раніше відомим як Yoroi Wallet) стоїть EMURGO — один з трьох ключових співзасновників блокчейну Cardano. EMURGO позиціонує себе як двигун комерційного впровадження технології, і цей інцидент кидає тінь на всю екосистему, незважаючи на спроби Хоскінсона відмежуватися.

Хоскінсон також зазначив, що IOG не писала код для SecondFi і не несе за нього відповідальності. Це логічно, але для спільноти Cardano, яка будується на принципах децентралізації та довіри, подібні інциденти — серйозний удар по репутації. Нагадаю, що в листопаді 2025 року вже був випадок, коли «сплячий» гаманець Cardano випадково втратив $6,05 мільйона при обміні 14,4 мільйона ADA через неліквідний пул. А раніше ончейн-детектив ZachXBT називав модель функціонування Cardano «схемою збагачення інсайдерів».

Моя експертна думка: Даний злам — не помилка блокчейну, а пряма халатність команди SecondFi, яка допустила витік приватних ключів на рівні власного софту. Для Cardano це тривожний сигнал: проблеми з безпекою на рівні додатків, особливо таких важливих, як гаманці, можуть підірвати довіру користувачів до екосистеми в цілому. Ринок вже відреагував зниженням, і відновлення довіри вимагатиме від EMURGO не лише усунення вразливості, але й прозорого аудиту всіх своїх продуктів.