Експлойт SecondFi на Cardano: витекли приватні ключі, викрадено 16 млн ADA
23 червня команда SecondFi, раніше відома як Yoroi Wallet, оголосила про критичну вразливість у своєму гаманці на блокчейні Cardano. Платформу негайно перевели в режим безпечного обслуговування, а доступ користувачів до операцій через інтерфейс тимчасово заблокували. Розробники розпочали масштабне розслідування інциденту.
Масштаб атаки та екстрені заходи
Вже наступного дня, 24 червня, SecondFi підтвердила, що зловмисники змогли вивести приблизно 16 млн ADA з 374 адрес. За моїми оцінками, виходячи з курсу ADA близько $0,146 на момент інциденту, прямий збиток склав близько $2,4 млн. Однак, як показав аналіз, це лише верхівка айсберга.
Команда SecondFi заявила, що для запобігання повній втраті коштів було запущено екстрені протоколи захисту. У результаті вдалося врятувати 129 млн ADA, які зараз направляються незалежному кваліфікованому сторонньому кастодіану. Ці кошти зберігатимуться в інтересах постраждалих адрес. Важливо зазначити, що всього було зафіксовано чотири події виведення коштів: три з них здійснили хакери, а четверта, ймовірно, була ініціативою самої команди щодо переміщення захищених активів.
Корінь проблеми: генерація ключів
Мітчелл Амадор, генеральний директор Immunefi, під час розслідування вказав на ключову деталь: програмне забезпечення SecondFi розкрило приватні ключі, які воно ж і генерувало. Це фундаментальна вразливість на рівні архітектури гаманця, а не самого блокчейну Cardano. Саме тому SecondFi наполегливо рекомендувала користувачам не намагатися відновлювати сід-фразу в інших гаманцях на базі Cardano — ризик компрометації залишається.
Цей інцидент — яскравий приклад того, як помилка в модулі генерації ключів може призвести до катастрофічних наслідків, незважаючи на загальну безпеку блокчейну. Користувачам варто перевіряти, хто саме відповідає за безпеку їхньої seed-фрази.
Реакція екосистеми та позиція IOG
Чарльз Хоскінсон, засновник Cardano, поспішив дистанціювати Input Output Global (IOG) від інциденту. Він підкреслив, що SecondFi не є продуктом IOG, і компанія не має ані частки, ані контролю, ані ділових відносин із цим проєктом. «Ми не писали цей код і не пов'язані з ним», — заявив Хоскінсон, порівнявши ситуацію з проханням до Apple вирішити проблему з продуктом Microsoft.
Однак варто зазначити, що за SecondFi стоїть EMURGO — один із трьох ключових співзасновників блокчейну Cardano. У своїй документації EMURGO описує себе як стимулятора комерційного впровадження технології. Цей конфлікт інтересів і спроба дистанціюватися від проблем дочірнього продукту піднімає серйозні питання щодо децентралізації управління в екосистемі.
Мій аналіз: Цей експлойт — не просто технічна невдача, а серйозний удар по репутації Cardano як екосистеми з передовою безпекою. Те, що вразливість виникла на рівні генерації ключів у продукті одного зі співзасновників, ставить під сумнів моделі аудиту та контролю якості в проєктах, пов'язаних з EMURGO. Поки IOG відхрещується, спільноті доведеться розбиратися з наслідками самостійно, а довіра до «наукового» підходу Cardano отримує чергову тріщину.