Злом гаманця SecondFi на Cardano: викрадено 16 млн ADA, під ударом 374 адреси

23 червня 2026 року платформа SecondFi, раніше відома як Yoroi Wallet, оголосила про критичну вразливість у своєму гаманці на блокчейні Cardano. У результаті атаки зловмисники вивели близько 16 млн ADA з 374 адрес. За поточним курсом ADA на рівні $0,146, збитки оцінюються приблизно в $2,4 млн. Команда негайно перевела платформу в режим безпечного обслуговування, тимчасово заблокувавши можливість проведення операцій через інтерфейс.
У своїй заяві SecondFi підкреслила, що екстрені заходи дозволили захистити решту 129 млн ADA від повної втрати. Ці кошти були перенаправлені незалежному кваліфікованому кастодіану, де вони зберігаються в інтересах постраждалих адрес. Загалом зафіксовано чотири події виведення коштів: три з них здійснили хакери, а четверта, ймовірно, пов'язана з діями самої команди щодо захисту активів. Втім, прямо це не розкривається.
Причина вразливості: проблема на рівні адрес
Аналіз інциденту показав, що вразливість знаходиться на рівні адрес і впливає на процес підписання транзакцій. Генеральний директор Immunefi Мітчелл Амадор зазначив, що програмне забезпечення SecondFi розкрило приватні ключі, які саме ж і генерувало. Проблема криється не в самому блокчейні Cardano, а в модулі гаманця, що відповідає за створення ключів. Саме тому SecondFi наполегливо рекомендувала користувачам не відновлювати сид-фразу в інших гаманцях на базі Cardano — ризики зберігаються.
Команда вже виявила причину та випустила виправлення для непостраждалих гаманців. Ведеться активна робота з ключовими учасниками екосистеми Cardano: Input Output Global (IOG), Cardano Foundation, Intersect та SundaeSwap.
Позиція IOG та Чарльза Хоскінсона
Засновник Cardano Чарльз Хоскінсон поспішив дистанціювати IOG від інциденту. У своїй заяві він підкреслив, що SecondFi не є продуктом IOG, і компанія не має жодних часток, контролю або ділових відносин із цим проектом. «Ми не писали цей код і не пов'язані з ним», — заявив Хоскінсон, порівнявши ситуацію зі зверненням до Apple щодо проблеми в продукті Microsoft.
Примітно, що за SecondFi стоїть EMURGO — один із співзасновників блокчейну Cardano, який позиціонує себе як рушійну силу комерційного впровадження технології. Однак Хоскінсон підкреслив, що IOG не контролює EMURGO і не може говорити від його імені.
Цей інцидент знову піднімає питання безпеки гаманців в екосистемі Cardano, особливо на тлі нещодавнього випадку, коли «сплячий» гаманець випадково обміняв 14,4 млн ADA через неліквідний пул, втративши $6,05 млн. Аналітик ZachXBT раніше називав модель функціонування Cardano «схемою збагачення інсайдерів», і подібні інциденти лише підкріплюють його аргументи.
Експертна думка Cryptalist: Витік приватних ключів через помилку в генерації — це класичний приклад того, як довіра до «самостійного зберігання» може бути підірвана поганим кодом. Користувачам варто перевіряти репутацію та аудит гаманців, а не покладатися лише на гучні імена в екосистемі. Cardano, незважаючи на науковий підхід, не застрахований від таких багів, і цей випадок стане серйозним ударом по довірі до SecondFi та, опосередковано, до EMURGO.