Експлойт SecondFi на Cardano: 16 млн ADA викрадено, екосистема в напрузі
23 червня команда SecondFi оголосила про критичну вразливість у своєму гаманці на блокчейні Cardano, негайно перевівши платформу в режим безпечного обслуговування. Користувачі тимчасово втратили можливість проводити транзакції через інтерфейс, поки розробники оцінювали масштаб інциденту. Вже наступного дня, 24 червня, стало відомо про викрадення приблизно 16 млн ADA з 374 адрес. За моїми оцінками, виходячи з курсу ADA близько $0,146 на момент атаки, збиток становить близько $2,4 млн.
Екстрені заходи та першопричина
Щоб запобігти повній втраті активів, команда SecondFi запустила екстрені протоколи захисту. Було заявлено про збереження близько 129 млн ADA, які спрямовуються незалежному кваліфікованому сторонньому кастодіану в інтересах постраждалих адрес. У ході розслідування з'ясувалося, що вразливість знаходиться на рівні адрес і пов'язана з процесом підписання транзакцій. Це означає, що просте відновлення сід-фрази в іншому гаманці на базі Cardano не усуває ризик — зловмисники могли скомпрометувати саму генерацію приватних ключів. SecondFi випустила виправлення для гаманців, які не постраждали, і рекомендувала всім користувачам утриматися від відновлення доступу через сторонні додатки.
Реакція екосистеми та позиція IOG
Інцидент викликав хвилю заяв від ключових гравців Cardano. Генеральний директор Immunefi Мітчелл Амадор зазначив, що проблема криється виключно в програмному забезпеченні SecondFi, а не в блокчейні Cardano. Засновник Cardano Чарльз Хоскінсон поспішив дистанціювати Input Output Global (IOG) від події, підкресливши, що компанія не має жодного відношення до SecondFi — ні частки, ні контролю, ні ділових зв'язків. Примітно, що за SecondFi (раніше відомим як Yoroi Wallet) стоїть EMURGO, один із співзасновників екосистеми Cardano. Це створює цікавий прецедент: формально IOG та EMURGO — незалежні структури, але для спільноти вони є стовпами однієї екосистеми.
Аналіз та висновки
Даний випадок — не просто черговий експлойт, а серйозний сигнал для всієї індустрії самозберігаючих гаманців. Злам на рівні генерації ключів підриває саму концепцію «не ваші ключі — не ваші монети». Поки SecondFi працює над поверненням коштів, екосистема Cardano переживає момент перевірки на міцність. Нагадаю, що раніше ончейн-детектив ZachXBT вже критикував модель функціонування Cardano, називаючи її «схемою збагачення інсайдерів». Цей інцидент лише підливає масла у вогонь дискусій про безпеку та децентралізацію. Моя професійна порада: завжди перевіряйте походження та аудит коду гаманців, особливо тих, які генерують ключі, а не просто зберігають їх. Ринок не прощає недбалості.