EMURGO анонсує повернення коштів жертвам злому SecondFi: виплати розпочнуться через два тижні
Ситуація навколо гаманця SecondFi, раніше відомого як Yoroi, починає прояснюватися. Генеральний директор EMURGO Філліп Пон офіційно заявив, що компанія знайшла технічне рішення для повернення коштів постраждалим користувачам. За його словами, виплати планується запустити орієнтовно через два тижні: перший тиждень команда присвятить розробці механізму повернення, а другий — його ретельному тестуванню.
Нагадаю, що експлойт торкнувся 374 адрес, з яких було виведено близько 16 млн ADA. На момент інциденту (21–23 червня) ця сума оцінювалася приблизно в $2,4 млн. Однак, як з'ясувалося, це лише частина історії. Під час атаки зловмисники діяли в три етапи, а в четвертому епізоді команда SecondFi екстрено перевела близько 129 млн ADA незалежному кастодіану, щоб ізолювати активи. Ці кошти зараз проходять перевірку зовнішньою аудиторською фірмою.
Технічне підґрунтя: не повторне використання nonce, а помилка підпису
Особливої уваги заслуговує незалежний звіт Tibane Labs. Всупереч початковим припущенням, аналітики компанії дійшли висновку, що корінь проблеми криється не в повторному використанні числа nonce, а в критичній помилці підпису Ed25519. Згідно з їхніми даними, 8 червня неаудований SDK trantor, опублікований у npm незалежним розробником, замінив раніше використовуваний перевірений модуль підпису EMURGO. Це означає, що для відновлення приватного ключа зловмисникам було достатньо лише одного підписаного повідомлення.
Примітно, що EMURGO досі не опублікувала повний технічний постмортем і публічно не відповіла на висновки Tibane Labs. Це викликає питання у спільноти, враховуючи, що SecondFi (Yoroi) довгий час залишався одним з основних гаманців в екосистемі Cardano, а сама EMURGO є однією з трьох організацій-засновниць мережі.
Запобіжні заходи та поточний статус
SecondFi наполегливо просить користувачів не переказувати активи до офіційних інструкцій і попереджає про хвилю шахрайських повідомлень. Сервіс підкреслює, що ніколи не запитує приватні ключі, сід-фрази та доступ до гаманців. На даний момент відомо про два гаманці атакуючих: один пов'язаний зі 171 скомпрометованою адресою, другий — з 203. Близько 4 млн ADA, пов'язаних з крадіжкою, знаходяться на позначеній адресі збору і залишаються під наглядом.
Цей інцидент — чергове нагадування про те, наскільки крихкою може бути безпека навіть у зрілих екосистемах. Злом SecondFi стався на тлі антирекорду криптоіндустрії у другому кварталі 2026 року: 83 інциденти із загальними збитками $755,3 млн. Особисто я вважаю, що відсутність прозорого постмортему з боку EMURGO — серйозний сигнал для власників ADA. Інвесторам варто уважно стежити за розвитком подій, особливо за тим, як компанія буде вибудовувати довіру після такого удару по репутації.