Експлойт SecondFi на Cardano: витік 16 млн ADA та криза довіри до гаманця

23 червня команда SecondFi оголосила про критичну вразливість у своєму гаманці на блокчейні Cardano, негайно перевівши платформу в режим безпечного обслуговування. Користувачі тимчасово втратили можливість проводити операції через інтерфейс, поки розробники оцінювали масштаб інциденту.
Наступного дня, 24 червня, SecondFi підтвердила: зловмисники вивели приблизно 16 млн ADA з 374 адрес. Збиток, за моїми розрахунками, склав близько $2,4 млн за курсу ADA близько $0,146 на момент атаки. Це серйозний удар по репутації проєкту, який позиціонувався як надійний інструмент для роботи з Cardano.
Екстрені заходи та масштаб проблеми
Щоб запобігти повній втраті коштів, команда SecondFi запустила екстрені протоколи, захистивши доступні 129 млн ADA. Як заявили розробники, ці кошти направляються незалежному кваліфікованому сторонньому кастодіану для зберігання в інтересах постраждалих адрес. Однак ситуація залишається напруженою: було зафіксовано чотири події виведення коштів. Три з них — дії хакерів, а четверта, ймовірно, пов'язана з переміщенням самою командою близько 129 млн ADA для захисту активів. Прямого підтвердження цьому від SecondFi не надійшло.
Мітчелл Амадор, генеральний директор Immunefi, вказав на корінь проблеми: програмне забезпечення проєкту розкрило приватні ключі, які саме генерувало. Це свідчить про фундаментальний дефект у модулі створення ключів, а не в самому блокчейні Cardano. Тому SecondFi наполегливо рекомендувала користувачам не відновлювати сід-фразу в інших гаманцях на базі Cardano — ризик зберігається.
Реакція екосистеми та позиція IOG
Чарльз Хоскінсон, засновник Cardano, поспішив дистанціювати Input Output Global (IOG) від інциденту. Він заявив, що SecondFi не є продуктом IOG, і в компанії немає частки, контролю або ділових відносин із цим проєктом. «Ми не писали цей код і не пов'язані з ним», — підкреслив Хоскінсон. Нагадаю, що за SecondFi (раніше Yoroi Wallet) стоїть EMURGO — один із ключових гравців в екосистемі Cardano, який описує себе як співзасновника блокчейну. Однак Хоскінсон чітко дав зрозуміти, що IOG не контролює EMURGO і не може говорити від її імені.
Цей інцидент піднімає серйозні питання щодо безпеки гаманців, навіть тих, які підтримуються великими екосистемними гравцями. Раніше, у листопаді 2025 року, ми вже бачили, як «сплячий» Cardano-гаманець випадково втратив $6,05 млн через неліквідний пул. А ончейн-детектив ZachXBT раніше називав модель функціонування Cardano «схемою збагачення інсайдерів». Тепер же ми маємо справу з прямою компрометацією приватних ключів.
Мій аналіз: Цей експлойт — не просто технічний збій, а сигнал про системні ризики в управлінні ключами на платформах, які претендують на роль «наступного покоління» DeFi. Поки SecondFi та EMURGO розбираються з наслідками, довіра користувачів до гаманців на Cardano підірвана. Ринок уважно стежитиме за тим, як швидко та прозоро будуть повернуті кошти, і які зміни в безпеці відбудуться. Поки ж рекомендую виявляти крайню обережність при використанні будь-яких неаудованих гаманців.