Cardano-кошелек SecondFi выявил уязвимость на уровне адресов после взлома на 16 млн ADA

Cardano-кошелёк SecondFi, ранее известный как Yoroi, столкнулся с масштабной атакой: злоумышленники похитили около 16 млн ADA (около $2,4 млн) из 374 адресов. По данным компании, взлом стал возможен из-за уязвимости на уровне адресов в программном обеспечении генерации кошелька.

SecondFi подтвердила, что корень проблемы — ошибка в коде, которая приводила к раскрытию приватных ключей при подписании транзакций. В ходе экстренных мер платформа заблокировала примерно 129 млн ADA, которые в настоящее время передаются независимому третьему лицу для хранения и последующего возврата пострадавшим пользователям после верификации.

Генеральный директор компании по безопасности Immunefi Митчелл Амадор отметил, что, хотя сам блокчейн Cardano остался защищённым, программный код, создающий ключи, часто остаётся без должного аудита. Он добавил, что атакующие всё чаще перенаправляют внимание на инфраструктуру генерации ключей, а не на протоколы блокчейна.

SecondFi предупредила пользователей не восстанавливать сид-фразы в новых кошельках, поскольку это не устраняет риск. В сообществе Cardano некоторые участники рекомендовали мигрировать средства на вновь созданные адреса, но компания призвала воздержаться от подобных действий до полного выяснения обстоятельств.

Основатель Cardano Чарльз Хоскинсон подчеркнул, что SecondFi не связана с Input Output Global (IOG) и не является продуктом компании. Он заявил, что IOG не писала код кошелька и не имеет влияния на его разработку. При этом команда IOG содействует в расследовании инцидента, а SecondFi запросила независимый аудит безопасности.

SecondFi ранее позиционировалась как некастодиальный кошелёк, запущенный в апреле 2026 года после ребрендинга с Yoroi. Yoroi был разработан Emurgo — коммерческим подразделением Cardano. Инцидент вновь привлёк внимание к вопросам безопасности криптокошельков и важности аудита кода, генерирующего приватные ключи.