Новини криптоміра

24.06.2026
16:48

Злом SecondFi: 16 мільйонів ADA вкрадено через критичну вразливість гаманця

hack

Екосистема Cardano зіткнулася з серйозним інцидентом безпеки. 23 червня команда SecondFi, раніше відома як Yoroi Wallet, оголосила про проблему у своєму гаманці та негайно перевела платформу в режим безпечного обслуговування. Користувачі тимчасово втратили можливість проводити транзакції через інтерфейс, поки розробники оцінювали масштаби збитків.

Вже наступного дня, 24 червня, SecondFi підтвердила: зловмисники вивели приблизно 16 мільйонів ADA з 374 адрес. За моїми розрахунками, виходячи з курсу ADA близько $0,146 на момент атаки, збитки склали близько $2,4 мільйона. Це серйозний удар по довірі до платформи, яка позиціонувалася як один із ключових інструментів для самоcustodial-фінансів на Cardano.

Команда SecondFi заявила, що в ході екстрених заходів вдалося захистити решту 129 мільйонів ADA. Ці кошти зараз направляються до незалежного кваліфікованого стороннього кастодіана для зберігання в інтересах постраждалих адрес. Однак ключове питання — як саме стався витік.

Природа вразливості: проблема на рівні адрес

Як з'ясувалося, проблема криється не в самому блокчейні Cardano, а в модулі генерації ключів гаманця SecondFi. Генеральний директор Immunefi Мітчелл Амадор пояснив, що програмне забезпечення проекту розкривало приватні ключі, які воно ж і генерувало. Це означає, що будь-який користувач, який підписав транзакцію, міг бути скомпрометований.

Ось чому SecondFi наполегливо рекомендувала не відновлювати сид-фразу в інших гаманцях на базі Cardano — ризик зберігається, доки корінь проблеми не усунено. Всього було зафіксовано чотири події виведення коштів: три від зловмисників і одна, ймовірно, від самої команди для захисту активів.

Позиція IOG та Чарльза Хоскінсона

Засновник Cardano Чарльз Хоскінсон поспішив дистанціюватися від інциденту. У своїй заяві він підкреслив, що SecondFi не є продуктом Input Output Global (IOG). «Ми не маємо жодного відношення до SecondFi. У нас немає частки, контролю, власності або ділових відносин», — заявив Хоскінсон, порівнявши ситуацію зі зверненням до Apple щодо проблеми з продуктом Microsoft.

Однак варто зазначити, що за SecondFi стоїть EMURGO — один із співзасновників блокчейну Cardano, який описує себе як компанію, що стимулює комерційне впровадження технології. Таким чином, хоча IOG формально не несе відповідальності, інцидент кидає тінь на всю екосистему.

Моя професійна оцінка: цей злом — черговий тривожний сигнал для індустрії. Вразливість на рівні генерації ключів — це фундаментальний дефект, який може повторитися в інших проектах. Користувачам варто переглянути свої підходи до безпеки та, можливо, уникати гаманців із закритим вихідним кодом або недостатньо перевіреною архітектурою. Cardano, безсумнівно, сильний блокчейн, але такі інциденти підривають довіру навіть до найнадійніших екосистем.