Критичний експлойт SecondFi: Хакери вивели 16 млн ADA, команда екстрено блокує 129 млн

23 червня 2026 року платформа SecondFi, раніше відома як Yoroi Wallet і розроблена компанією EMURGO, зіткнулася з серйозною вразливістю у своєму гаманці на блокчейні Cardano. Команда негайно перевела платформу в режим безпечного обслуговування, тимчасово заблокувавши всі операції через інтерфейс для оцінки масштабів атаки.
Вже 24 червня SecondFi підтвердила, що зловмисники отримали доступ до 374 адрес і вивели приблизно 16 млн ADA. За поточним курсом близько $0,146 за токен, прямий збиток оцінюється в $2,4 млн. Однак, як показують дані, це лише частина історії.
Екстрені заходи та розкриття вразливості
У відповідь на активний експлойт команда SecondFi запустила протокол екстреного захисту. Вони успішно перемістили решту 129 млн ADA до незалежного кваліфікованого кастодіана, запобігши повній втраті коштів. «Кошти зберігаються в інтересах постраждалих адрес», — заявили розробники, підкреслюючи, що працюють у тісній координації з ключовими гравцями екосистеми Cardano: IOG, Cardano Foundation, Intersect та SundaeSwap.
Аналіз показав, що зафіксовано чотири події виведення коштів. Три з них — дії хакерів, а четверта, ймовірно, була ініційована самою командою для переміщення 129 млн ADA. Причина інциденту вже знайдена, і патч випущено для незачеплених гаманців. Критична вразливість знаходиться на рівні адреси: ризик виникає в момент підписання транзакції. Це означає, що просте відновлення сид-фрази в іншому гаманці Cardano не усуває загрозу. SecondFi наполегливо рекомендує користувачам не відновлювати сид-фразу в сторонніх гаманцях до додаткових інструкцій.
Думка експертів та позиція IOG
Генеральний директор Immunefi Мітчелл Амадор прямо вказав на програмну помилку: програмне забезпечення SecondFi розкривало приватні ключі, які саме ж і генерувало. Проблема лежить виключно в модулі гаманця, а не в самому блокчейні Cardano.
Засновник Cardano Чарльз Хоскінсон поспішив дистанціювати свою компанію IOG від інциденту. «Це не продукт IOG. У нас немає частки, контролю, власності або ділових відносин з SecondFi», — заявив він, порівнявши ситуацію з проблемою від продукту Microsoft, за яку Apple не несе відповідальності. Хоскінсон підкреслив, що IOG не писала цей код і не пов'язана з ним, хоча за SecondFi стоїть EMURGO — один із співзасновників Cardano, відповідальний за комерційне впровадження.
Мій аналіз: Цей інцидент — яскравий приклад того, як навіть у рамках однієї екосистеми можуть виникати фундаментальні розриви в безпеці. Спроба Хоскінсона відхреститися від проблеми, хоча EMURGO є ключовим гравцем, створює небезпечний прецедент. Користувачам Cardano варто переглянути свої ризики при використанні сторонніх гаманців, навіть якщо вони афілійовані із засновниками мережі. Поки SecondFi бореться з наслідками, довіра до екосистеми отримує серйозний удар.