Злом SecondFi: 16 млн ADA витекли через критичну вразливість гаманця

Екосистема Cardano отримала серйозний удар по репутації: платформа SecondFi, раніше відома як Yoroi Wallet, зазнала експлойту, внаслідок якого зловмисники вивели близько 16 мільйонів ADA. Інцидент було зафіксовано 23 червня, після чого команда проекту негайно перевела платформу в режим безпечного обслуговування, заблокувавши всі користувацькі операції через інтерфейс.
За моїми даними, атака торкнулася 374 адрес. На момент інциденту курс ADA коливався в районі $0,146, що переводить втрати в суму близько $2,4 мільйона. Однак це лише верхівка айсберга: команда SecondFi заявила, що екстрені заходи дозволили захистити решту 129 мільйонів ADA, які зараз передаються на зберігання незалежному кваліфікованому кастодіану. Це свідчить про те, що масштаб потенційної катастрофи був значно вищим.
Деталі атаки: проблема на рівні адрес
У ході розслідування з'ясувалося, що вразливість криється не в самому блокчейні Cardano, а в модулі гаманця, що відповідає за генерацію приватних ключів. Як зазначив генеральний директор Immunefi Мітчелл Амадор, програмне забезпечення SecondFi просто розкривало ключі, які саме ж і створювало. Це фундаментальний дефект архітектури безпеки.
Команда SecondFi підтвердила, що ризик виникає в момент підписання транзакції. Саме тому вони наполегливо рекомендували користувачам не намагатися відновлювати сід-фразу в інших гаманцях на базі Cardano — це не вирішило б проблему, а лише розширило б поверхню атаки. Всього було зафіксовано чотири події виведення коштів: три — руками зловмисників, четверта, ймовірно, була екстреним переміщенням 129 мільйонів ADA самою командою для захисту активів, хоча прямо це не розкривається.
Позиція IOG та EMURGO: хто у відповіді?
Засновник Cardano Чарльз Хоскінсон поспішив дистанціюватися від інциденту, заявивши, що SecondFi не є продуктом Input Output Global (IOG). Він підкреслив, що у IOG немає ні частки, ні контролю, ні ділових відносин із цією платформою. Однак важливо розуміти, що за SecondFi стоїть EMURGO — один із трьох ключових співзасновників блокчейну Cardano, який позиціонує себе як двигун комерційного впровадження технології.
Цей інцидент знову піднімає питання про децентралізацію управління в екосистемі Cardano. Формально IOG та EMURGO — незалежні структури, але для спільноти вони є частиною єдиного «ядра». Те, що Хоскінсон називає SecondFi «продуктом Microsoft» по відношенню до «Apple» IOG, лише підкреслює роз'єднаність та відсутність єдиних стандартів безпеки серед ключових гравців.
Мій аналіз: Даний експлойт — не просто технічний збій, а серйозний сигнал тривоги для всієї індустрії. Витік 16 мільйонів ADA через фундаментальну помилку в генерації ключів — це провал на рівні базового дизайну продукту. Поки засновники перекладають відповідальність, користувачі втрачають реальні кошти. Цей випадок має стати каталізатором для перегляду стандартів аудиту безпеки гаманців, особливо тих, які претендують на роль «основних» у своїх екосистемах.