Новини криптоміра

24.06.2026
15:49

Експлойт SecondFi: 16 мільйонів ADA витекли через фатальну вразливість у генерації ключів

hack

23 червня платформа SecondFi, що спеціалізується на DeFi-рішеннях для блокчейну Cardano, була змушена екстрено перевести свої сервіси в режим безпечного обслуговування. Причиною стала критична вразливість у гаманці проєкту, яка призвела до масштабного витоку коштів. Розробники негайно заблокували користувацькі операції, щоб оцінити масштаб катастрофи та запобігти подальшому спустошенню гаманців.

Масштаб і механізм атаки

Вже наступного дня, 24 червня, команда SecondFi підтвердила найгірші побоювання: зловмисники успішно скомпрометували 374 адреси та вивели з них близько 16 мільйонів ADA. За поточним курсом, який на момент інциденту становив приблизно $0,146 за токен, збитки оцінюються у $2,4 мільйона. Важливо підкреслити, що це лише «верхівка айсберга» — атака могла бути набагато руйнівнішою.

Як з'ясувалося під час розслідування, вразливість знаходилася не на рівні блокчейну Cardano, а безпосередньо в модулі генерації приватних ключів гаманця SecondFi. По суті, програмне забезпечення проєкту «розкривало» ці ключі, роблячи їх доступними для атакуючих у момент підписання транзакції користувачем. Це пояснює, чому проста зміна платформи або відновлення сид-фрази в іншому гаманці не вирішили б проблему — небезпека була закладена в самій архітектурі додатку.

Екстрені заходи та порятунок 129 мільйонів ADA

У відповідь на активну атаку команда SecondFi вжила безпрецедентних заходів. Щоб запобігти повній втраті ліквідності, вони в ручному режимі перемістили 129 мільйонів ADA на адресу незалежного кваліфікованого кастодіана. Ці кошти знаходяться в безпеці та призначені для подальшого розподілу серед постраждалих користувачів. Загалом було зафіксовано чотири великі події з виведення коштів: три з них — робота хакерів, четверта — операція самої команди з порятунку активів.

Реакція екосистеми та позиція IOG

Інцидент викликав хвилю напруженості в спільноті Cardano. Засновник блокчейну Чарльз Хоскінсон та його компанія Input Output Global (IOG) поспішили дистанціюватися від того, що сталося. Хоскінсон прямо заявив, що SecondFi не є продуктом IOG, у них немає «ні частки, ні контролю, ні ділових відносин». Він порівняв ситуацію з проханням до Apple вирішити проблему з продуктом Microsoft. Однак варто зазначити, що SecondFi (раніше відомий як Yoroi Wallet) належить компанії EMURGO, яка позиціонує себе як один із співзасновників екосистеми Cardano.

Думка експерта: Цей інцидент — яскравий приклад того, як фундаментальна помилка в архітектурі безпеки одного додатку може підірвати довіру до всього блокчейну, навіть якщо сам протокол Cardano не був зламаний. Для спільноти це тривожний дзвінок: репутація мережі будується не лише на надійності базового шару, але й на якості софту, який на ньому працює. Відновлення довіри після такого витоку може зайняти місяці, і це урок для всіх DeFi-проєктів, які економлять на аудиті коду генерації ключів.