Новини криптоміра

24.06.2026
16:05

Атака на SecondFi: 16 млн ADA викрадено через критичну вразливість у генерації ключів

hack

23 червня команда SecondFi зафіксувала серйозну вразливість у власному гаманці на блокчейні Cardano. Платформу негайно перевели в режим безпечного обслуговування, що тимчасово заблокувало всі користувацькі операції. Розробники розпочали екстрену оцінку масштабів інциденту.

Вже наступного дня, 24 червня, стало відомо, що зловмисники змогли вивести приблизно 16 млн ADA з 374 адрес. За моїми розрахунками, виходячи з курсу ADA близько $0,146 на момент атаки, прямий збиток склав близько $2,4 млн. Однак, як показує практика, непрямі втрати для репутації проєкту та довіри користувачів можуть бути в рази вищими.

Команда SecondFi заявила, що для запобігання повній втраті коштів було активовано екстрені протоколи захисту. Решту 129 млн ADA оперативно перемістили до незалежного кваліфікованого стороннього кастодіана. Ці кошти зберігаються в інтересах постраждалих адрес, однак механізм їхнього повернення поки не розкрито.

Детальний аналіз інциденту

У ході розслідування з'ясувалося, що вразливість знаходиться на рівні адреси. Ризик виникає в момент підписання транзакції. Це означає, що просте переміщення коштів на інший гаманець або платформу не усуває загрозу. Саме тому SecondFi наполегливо рекомендувала користувачам не відновлювати сид-фразу в жодному іншому гаманці на базі Cardano.

За даними команди, було зафіксовано чотири події виведення коштів. Три з них — дії зловмисників. Четверту, ймовірно, ініціювала сама команда для екстреного захисту активів. Прямих підтверджень цьому немає, але логіка екстреного реагування це допускає.

Генеральний директор Immunefi Мітчелл Амадор вказав на фундаментальну причину: програмне забезпечення SecondFi розкривало приватні ключі, які саме ж і генерувало. Проблема криється не в блокчейні Cardano, а в модулі гаманця, що відповідає за створення ключів. Це класичний приклад помилки на рівні застосунку, а не протоколу.

Позиція ключових гравців екосистеми

Засновник Cardano Чарльз Хоскінсон поспішив дистанціюватися від інциденту. Він підкреслив, що SecondFi не є продуктом Input Output Global (IOG), і компанія не має жодних ділових відносин із цим проєктом. Хоскінсон порівняв ситуацію зі зверненням до Apple щодо проблеми з продуктом Microsoft.

Однак важливо зазначити, що за SecondFi (раніше відомим як Yoroi Wallet) стоїть EMURGO — один із трьох співзасновників блокчейну Cardano. EMURGO у своїй документації позиціонує себе як компанію, що стимулює комерційне впровадження технології. Цей факт створює неоднозначну ситуацію: формально IOG не несе відповідальності, але стратегічний партнер екосистеми припустився критичної помилки.

Мій аналіз: Цей інцидент — чергове нагадування про те, що безпека в DeFi та криптовалютах — це не лише надійність протоколу, а й якість коду прикладного програмного забезпечення. Витік приватних ключів через помилку в генераторі — це фатальний недолік, який підриває довіру до всього сегменту. Поки екосистема Cardano демонструє стійкість на рівні L1, подібні інциденти на рівні застосунків можуть серйозно сповільнити її масове прийняття. Ринок уже давно вимагає від розробників не просто функціональності, а безкомпромісної безпеки на всіх рівнях стеку.