Новини криптоміра

24.06.2026
16:34

Експлойт SecondFi: з гаманців викрадено 16 млн ADA — деталі інциденту та реакція екосистеми Cardano

hack

23 червня команда SecondFi зафіксувала критичну вразливість у власному гаманці на блокчейні Cardano. У відповідь на інцидент платформу було негайно переведено в режим безпечного обслуговування, призупинивши всі операції через інтерфейс до з'ясування масштабів атаки.

Вже наступного дня, 24 червня, стало відомо, що зловмисники встигли вивести близько 16 мільйонів ADA з 374 адрес. За моїми оцінками, виходячи з курсу ADA на момент інциденту (близько $0,146), збитки склали приблизно $2,4 мільйона. Це серйозний удар по довірі до сервісу, але, на щастя, не фатальний для всього блокчейну.

Під час екстрених заходів команді SecondFi вдалося захистити решту 129 мільйонів ADA. Ці кошти були оперативно передані незалежному кваліфікованому сторонньому кастодіану для збереження в інтересах постраждалих користувачів. Розробники вже виявили першопричину злому та випустили виправлення для гаманців, не порушених атакою.

Анатомія атаки та загроза приватним ключам

За даними розслідування, було зафіксовано чотири події виведення коштів. Три з них здійснили зловмисники, а четверту, ймовірно, ініціювала сама команда для переміщення захищених активів. Генеральний директор Immunefi Мітчелл Амадор зазначив, що вразливість криється в програмному забезпеченні проєкту, яке розкривало приватні ключі, що ним же генерувалися. Проблема торкнулася не самого блокчейну Cardano, а модуля гаманця, відповідального за створення ключів. Саме тому SecondFi наполегливо рекомендувала користувачам не відновлювати сід-фразу в інших гаманцях на базі Cardano — ризик компрометації зберігався.

Реакція лідерів екосистеми

Засновник Cardano Чарльз Хоскінсон поспішив дистанціювати свою компанію Input Output Global (IOG) від інциденту. Він підкреслив, що SecondFi не є продуктом IOG, і вони не мають частки, контролю або ділових відносин. «Ми не писали цей код і не пов'язані з ним», — заявив Хоскінсон, порівнявши ситуацію з питанням до Apple про усунення проблеми в продукті Microsoft.

Варто зазначити, що за SecondFi (раніше відомою як Yoroi Wallet) стоїть EMURGO — один із ключових гравців і співзасновників блокчейну Cardano. EMURGO описує себе як компанію, що стимулює комерційне впровадження технології блокчейн. Однак, як показав цей інцидент, навіть близькість до засновників не гарантує бездоганної безпеки коду.

Мій аналіз: Цей злом — чергове нагадування про те, що в DeFi та самозбережних гаманцях безпека коду має першорядне значення. Вразливість на рівні генерації ключів — це бомба уповільненої дії, яка може торкнутися не одного, а багатьох гаманців. Хоча екосистема Cardano в цілому не постраждала, репутаційна шкода для SecondFi та опосередковано для EMURGO може бути значною. Інвесторам і користувачам варто виявляти підвищену обережність при виборі гаманців, особливо тих, які не пройшли багаторазовий аудит коду незалежними експертами.