Експлойт SecondFi: 16 мільйонів ADA витекли через вразливість у генерації ключів

23 червня команда SecondFi оголосила про критичну проблему безпеки у своєму гаманці на блокчейні Cardano, негайно перевівши платформу в режим безпечного обслуговування. Користувачі тимчасово втратили можливість проводити операції через інтерфейс, поки розробники оцінювали масштаб витоку.
Вже наступного дня, 24 червня, SecondFi підтвердила, що зловмисники вивели приблизно 16 мільйонів ADA з 374 адрес. Виходячи з курсу ADA близько $0,146 на момент інциденту, збиток оцінюється приблизно в $2,4 мільйона.
Екстрені заходи та природа вразливості
Для запобігання повній втраті коштів команда SecondFi запустила екстрені протоколи захисту. «Було вжито заходів для захисту доступних 129 мільйонів ADA. Ці кошти спрямовуються незалежному кваліфікованому сторонньому кастодіану, де вони зберігаються в інтересах постраждалих адрес», — заявили представники проекту.
Аналіз показав, що під час інциденту відбулося чотири події виведення коштів. Три з них були здійснені зловмисниками, а четверта, ймовірно, пов'язана з переміщенням згаданих 129 мільйонів ADA самою командою для захисту активів. Примітно, що SecondFi прямо не розкрила деталі цього переміщення.
Генеральний директор Immunefi Мітчелл Амадор зазначив, що проблема криється в програмному забезпеченні самого проекту: воно розкривало приватні ключі, які саме ж і генерувало. Таким чином, вразливість торкнулася не блокчейн Cardano, а модуль гаманця, відповідальний за створення ключів. Саме тому SecondFi наполегливо рекомендувала користувачам не відновлювати сид-фразу в інших гаманцях на базі Cardano — ризик зберігається.
Позиція IOG та реакція засновника
Засновник Cardano Чарльз Хоскінсон поспішив дистанціюватися від інциденту. У своїй заяві він підкреслив: «Ми не маємо жодного відношення до SecondFi. У нас немає частки, контролю, власності або ділових відносин. Це все одно що питати Apple, чи будуть вони вирішувати проблему з продуктом Microsoft». Він також зазначив, що IOG не писала код для SecondFi і не пов'язана з ним.
Важливо зазначити, що за SecondFi (раніше відомим як Yoroi Wallet) стоїть EMURGO — один із ключових гравців в екосистемі Cardano. У своїй документації EMURGO описує себе як співзасновника блокчейну, який стимулює комерційне впровадження технології. Однак Хоскінсон чітко дав зрозуміти, що IOG не контролює EMURGO і не може говорити від її імені.
Цей інцидент знову піднімає питання безпеки в DeFi-секторі. На мою думку, головний урок тут — навіть поважні проекти, що стоять за інфраструктурними рішеннями, можуть допускати фатальні помилки на рівні коду. Користувачам Cardano варто бути особливо пильними та перевіряти надійність використовуваних гаманців, особливо якщо вони генерують ключі. У той час як засновники розводять руками, відповідальність за збереження активів все одно лягає на кінцевого користувача.