← К новостям

SecondFi готовит возврат ADA после взлома на $2,4 млн

взлом SecondFi
EMURGO готовит возврат активов пользователям SecondFi после взлома на $2,4 млн в ADA. Механизм обещают подготовить за две недели.

EMURGO заявила, что нашла способ вернуть активы пользователям кошелька SecondFi после эксплойта, в результате которого с 374 адресов увели около 16 млн ADA — примерно $2,4 млн на момент атаки. Компания рассчитывает подготовить механизм возврата примерно за две недели: одну неделю отводят на разработку, ещё одну — на тестирование.

SecondFi — это кошелёк компании EMURGO, одной из организаций, стоявших у истоков Cardano. До ребрендинга в апреле 2026 года он был известен как Yoroi и много лет оставался одним из заметных лёгких кошельков в экосистеме ADA. Поэтому история получилась болезненной: речь не о случайном малоизвестном приложении, а о продукте, связанном с одним из ключевых участников сети.

Глава EMURGO Phillip Pon сообщил, что компания завершила внутреннее расследование, проверила балансы кошельков и нашла «понятное решение» для восстановления активов. Пользователей при этом просят не перемещать средства и не выполнять никаких действий вне официальных инструкций SecondFi. Отдельно подчёркивается: SecondFi не будет просить приватные ключи, seed-фразы или доступ к кошельку.

По данным самой SecondFi, между 21 и 23 июня произошло четыре события, связанные с выводом средств. В трёх случаях действовали внешние атакующие: они забрали около 16 млн ADA с 374 адресов. Четвёртый вывод компания относит к экстренным мерам: около 129 млн ADA направили независимому хранителю, чтобы эти активы не достались злоумышленникам. SecondFi также заявила, что привлекла внешнюю бухгалтерскую фирму для проверки этих средств.

SecondFi утверждает, что выявила два кошелька атакующих. Один из них затронул 171 кошелёк, второй — 203. Ещё около 4 млн ADA, связанных с кражей, находятся на помеченном адресе, за которым ведётся наблюдение. О случившемся, по словам компании, уже сообщили правоохранителям.

Причина взлома пока остаётся самым неприятным местом всей истории. SecondFi говорит об ошибке на уровне генерации адресов в собственном кошельке, из-за которой могли раскрыться приватные ключи. То есть речь не о взломе сети Cardano как протокола, а о проблеме в программной реализации кошелька. Это важная деталь для тех, кто привык относиться к кошельку как к простой программе: в крипте ошибка в подписи или работе с ключами может стоить реальных денег. На FORKB уже есть базовый раздел про криптокошельки, и этот случай отлично показывает, почему фраза «сам контролируешь средства» работает в обе стороны.

Параллельно свою версию опубликовала Tibane Labs, команда, которая разрабатывает конкурирующий кошелёк. По её отчёту, проблема могла быть не в повторном использовании nonce, а в ошибке подписи Ed25519. Если объяснять проще, подпись транзакции якобы формировалась так, что одного подписанного действия было достаточно, чтобы восстановить приватный ключ. The Block отдельно отмечает, что не смог независимо проверить выводы Tibane.

Tibane также утверждает, что уязвимый код был связан с экспериментальным и непроверенным SDK trantor, опубликованным в npm независимым разработчиком, и что он заменил прежнюю проверенную сборку EMURGO 8 июня. EMURGO пока не выпустила технический разбор и публично не подтвердила эту версию. Поэтому писать, что именно trantor стал причиной взлома, пока рано.

Для обычного пользователя главный вывод проще: не трогать затронутые кошельки без официальных инструкций SecondFi и не передавать никому seed-фразу. Даже если сообщение выглядит «как от поддержки». В разделе FORKB про безопасность это базовое правило звучит скучно, но именно такие скучные правила чаще всего отделяют нормальный возврат средств от второй потери активов.

Пока у SecondFi есть план и срок, но нет полной картины. Компания не раскрыла точные суммы возврата по каждому пользователю, не описала полный порядок подачи заявок и не опубликовала технический постмортем. Поэтому сейчас это скорее первый внятный маршрут к восстановлению, чем финал истории.

Источник: The Block