EMURGO запускає процес повернення коштів жертвам злому SecondFi: терміни та деталі
EMURGO, одна з ключових організацій-засновниць екосистеми Cardano, оголосила про початок процедури повернення коштів користувачам гаманця SecondFi, які постраждали від масштабного експлойту. Генеральний директор компанії Філліп Пон підтвердив, що механізм компенсації вже розроблено, а перші виплати розпочнуться орієнтовно через два тижні. За даними on-chain аналізу, інцидент торкнувся 374 адрес, з яких було виведено близько 16 мільйонів ADA.
На наступний тиждень команда запланувала технічну реалізацію механізму повернення, після чого відбудеться тиждень ретельного тестування. Користувачам SecondFi наполегливо рекомендовано не здійснювати жодних операцій з активами до отримання офіційних інструкцій. Окремо наголошується, що сервіс ніколи не запитує приватні ключі, сид-фрази або доступ до гаманців — будь-які подібні повідомлення є шахрайськими.
Хронологія атаки та масштаби збитків
За даними команди SecondFi, у період з 21 по 23 червня відбулося чотири інциденти з несанкціонованим виведенням коштів. У трьох випадках зовнішні зловмисники вивели близько 16 мільйонів ADA (приблизно $2,4 мільйона на момент атаки) з 374 адрес. У четвертому епізоді команда екстрено перевела близько 129 мільйонів ADA незалежному кастодіану, щоб ізолювати активи від подальших посягань. Перевірка збереження цих коштів здійснюється зовнішньою аудиторською фірмою.
SecondFi також ідентифікувала два гаманці атакуючих: один пов'язаний зі 171 скомпрометованою адресою, другий — з 203. Близько 4 мільйонів ADA, що мають відношення до крадіжки, знаходяться на позначеній збірній адресі та залишаються під наглядом. Правоохоронні органи вже повідомлені про подію.
Технічні деталі: версія Tibane Labs
Окреме незалежне розслідування провела компанія Tibane Labs. Згідно з їхнім звітом, корінь проблеми криється не в повторному використанні nonce, а в уразливості, пов'язаній з помилкою підпису Ed25519. Tibane Labs стверджує, що 8 червня неаудований SDK trantor, опублікований у реєстрі npm незалежним розробником, замінив раніше використовуваний перевірений модуль підпису від EMURGO. За оцінкою експертів, для відновлення приватного ключа було достатньо лише однієї підписаної транзакції.
Примітно, що EMURGO досі не опублікувала повний технічний постмортем інциденту та публічно не відповіла на висновки Tibane Labs. Гаманець SecondFi (до квітня відомий як Yoroi) тривалий час залишався одним з основних інструментів в екосистемі Cardano, що робить цей інцидент особливо болючим для спільноти.
Мій професійний коментар: Ситуація навколо SecondFi — яскравий приклад того, як навіть поважні проєкти з багаторічною історією можуть бути вразливими перед несподіваними векторами атак. Відсутність публічного постмортему та мовчання у відповідь на детальний звіт Tibane Labs викликає запитання. Користувачам Cardano варто уважно поставитися до висновків незалежних експертів і в майбутньому приділяти першочергову увагу аудиту використовуваних SDK, особливо від сторонніх розробників. Відновлення довіри після такого інциденту вимагатиме від EMURGO не лише фінансової компенсації, але й максимальної прозорості.