Злом SecondFi на Cardano: 16 мільйонів ADA витекли через вразливість у генерації ключів
23 червня команда SecondFi була змушена перевести свою платформу на блокчейні Cardano в режим безпечного обслуговування після виявлення критичної проблеми безпеки. Користувачі тимчасово втратили можливість проводити транзакції через інтерфейс, поки розробники оцінювали масштаб витоку.
Вже наступного дня, 24 червня, стало відомо, що зловмисники встигли вивести близько 16 мільйонів ADA з 374 адрес. За моїми оцінками, виходячи з курсу ADA на той момент (~$0,146), збиток склав приблизно $2,4 мільйона. Це серйозний удар по довірі до проєкту, який позиціонував себе як надійний гаманець.
Екстрені заходи та масштаб проблеми
Для запобігання повній втраті коштів команда SecondFi запустила екстрені протоколи захисту. Вони змогли заблокувати та перенаправити решту 129 мільйонів ADA незалежному кваліфікованому кастодіану. Як заявили розробники, ці кошти зберігатимуться в інтересах постраждалих адрес.
Розслідування показало, що було здійснено чотири події з виведення коштів. Три з них — робота зловмисників, а четверта, найімовірніше, була ініційована самою командою для переміщення захищених активів. SecondFi прямо не підтвердила цей факт, але логіка підказує саме такий розвиток подій.
Корінь вразливості: приватні ключі під загрозою
Головний висновок, який я роблю з цього інциденту: вразливість криється на рівні генерації приватних ключів. Як зазначив генеральний директор Immunefi Мітчелл Амадор, програмне забезпечення SecondFi розкривало ключі, які саме ж і генерувало. Це фундаментальна помилка в архітектурі безпеки.
Важливо підкреслити: проблема не зачіпає блокчейн Cardano в цілому. Вона локалізована саме в модулі гаманця SecondFi, що відповідає за створення ключів. Саме тому команда наполегливо рекомендувала користувачам НЕ відновлювати свою сід-фразу в інших гаманцях на базі Cardano — ризик компрометації зберігається.
Позиція IOG та EMURGO: дистанціювання та відповідальність
Засновник Cardano Чарльз Хоскінсон поспішив дистанціювати свою компанію Input Output Global (IOG) від інциденту. Він заявив, що SecondFi не є продуктом IOG, і в них немає жодних ділових відносин або контролю над проєктом. «Ми не писали цей код і не пов'язані з ним», — підкреслив Хоскінсон.
Однак важливо розуміти контекст. За SecondFi (раніше відомим як Yoroi Wallet) стоїть EMURGO — один із трьох ключових засновників Cardano, поряд з IOG та Cardano Foundation. EMURGO описує себе як співзасновника блокчейну, що стимулює його комерційне впровадження. Таким чином, хоча IOG формально не несе відповідальності, інцидент кидає тінь на всю екосистему, особливо на тлі нещодавніх подій, коли «сплячий» гаманець випадково втратив $6,05 мільйона на неліквідному пулі.
Мій аналіз: Цей злом — не просто технічна невдача, а системний збій в управлінні ризиками. Проєкт, який претендує на роль основного гаманця для Cardano, не повинен допускати витоку приватних ключів на рівні генерації. Користувачам варто переглянути свої ризики при використанні будь-яких некастодіальних рішень, особливо якщо вони пов'язані з молодими командами.