EMURGO планує розпочати повернення коштів жертвам злому SecondFi протягом найближчих двох тижнів.
Генеральний директор EMURGO Філліп Пон оголосив, що компанія розробила механізм для повернення коштів користувачам, які постраждали від атаки на гаманець SecondFi. Виплати планується запустити приблизно через два тижні. Експлойт торкнувся 374 адрес, з яких було виведено близько 16 мільйонів ADA.
План відновлення та заходи безпеки
На поточному тижні команда зосередиться на створенні інфраструктури для повернення, а наступний буде присвячений тестуванню. SecondFi наполегливо рекомендує користувачам не вживати жодних дій з активами та слідувати лише офіційним інструкціям. Особливо підкреслюється, що сервіс ніколи не запитує приватні ключі, сид-фрази або доступ до гаманців — це стандартний запобіжний захід проти шахраїв, які активізуються на тлі таких інцидентів.
Хронологія атаки та масштаб збитків
За даними SecondFi, у період з 21 по 23 червня відбулося чотири епізоди несанкціонованого виведення коштів. У трьох з них зовнішні зловмисники викрали приблизно 16 млн ADA (на той момент близько $2,4 млн) з 374 гаманців. Під час четвертого інциденту команда в екстреному порядку перевела близько 129 млн ADA незалежному кастодіану, щоб ізолювати активи від подальших атак. Перевірка цих коштів зараз проводиться зовнішньою аудиторською фірмою.
Аналітики виявили два гаманці, пов'язані з атакуючими: один з них фігурує у 171 скомпрометованій адресі, другий — у 203. Близько 4 млн ADA, що мають відношення до крадіжки, знаходяться на позначеній збірній адресі та залишаються під наглядом. Правоохоронні органи вже повідомлені.
Технічні деталі злому
Незалежний звіт Tibane Labs пропонує альтернативну версію причин вразливості. Згідно з їхнім аналізом, проблема полягала не в повторному використанні nonce, а в помилці підпису Ed25519. Компанія стверджує, що 8 червня неаудований SDK trantor, опублікований в npm незалежним розробником, замінив раніше використовуваний перевірений модуль підпису EMURGO. За оцінкою Tibane Labs, для відновлення приватного ключа було достатньо лише однієї підписаної транзакції. EMURGO поки не опублікувала повний технічний постмортем і не дала публічної відповіді на ці висновки.
Контекст та експертний аналіз
Гаманець SecondFi (раніше відомий як Yoroi) довгий час був одним із ключових інструментів в екосистемі Cardano, а EMURGO є однією з трьох організацій-засновників мережі. Цей інцидент стався на тлі тривожної статистики: у другому кварталі 2026 року криптоіндустрія встановила антирекорд за кількістю зломів — 83 випадки із загальними збитками $755,3 млн.
Мій коментар: Ситуація навколо SecondFi — це класичний приклад того, як навіть у зрілих екосистемах типу Cardano довіра до фундаментальних інструментів може бути підірвана через помилки в ланцюжку постачання ПЗ. Той факт, що EMURGO поки не надала детального технічного аналізу, викликає питання, особливо на тлі висновків Tibane Labs. Користувачам варто бути гранично обережними: відновлення коштів — це лише перший крок, а відновлення довіри потребуватиме повної прозорості з боку розробників.