Проект SecondFi официально прекратил свою работу после взлома, затронувшего кошельки пользователей Cardano. Компания-разработчик EMURGO сконцентрировала все усилия на возврате активов и помощи пострадавшим, а не на восстановлении работы платформы.
В период с 21 по 23 июня 2026 года злоумышленники воспользовались критической уязвимостью в программном обеспечении для генерации кошельков SecondFi (ранее Yoroi). Из-за ошибки в механизме подписи транзакций стало возможным математически восстановить закрытые ключи пользователей на основе публичных данных блокчейна.
- Подтвержденный ущерб: Было скомпрометировано 374 адреса, с которых похищено около 16 млн ADA (на тот момент примерно $2,4 млн).
- Потенциальный масштаб: По оценкам компании SlowMist, потенциальные потери могли достигать $20 млн, так как многие адреса оставались уязвимыми, даже если средства с них еще не были выведены.
- Экстренные меры: Чтобы спасти активы от злоумышленников, команда SecondFi в экстренном порядке перевела около 129 млн ADA на хранение независимому квалифицированному кастодиану
Команда SecondFi настоятельно предупреждает пострадавших пользователей не восстанавливать свои сид-фразы в других кошельках Cardano. Уязвимость находится на уровне самого адреса, а не конкретного приложения-кошелька, поэтому это не устранит риск, а лишь может привести к повторной краже средств.
SecondFi больше не вернется к работе в качестве сервиса. Ее будущее — это исключительно процесс возврата активов пострадавшим пользователям и помощь в безопасной миграции на другие платформы. EMURGO продолжает работать над техническими решениями и инструментами, чтобы завершить этот процесс.
В период с 21 по 23 июня 2026 года злоумышленники воспользовались критической уязвимостью в программном обеспечении для генерации кошельков SecondFi (ранее Yoroi). Из-за ошибки в механизме подписи транзакций стало возможным математически восстановить закрытые ключи пользователей на основе публичных данных блокчейна.
- Подтвержденный ущерб: Было скомпрометировано 374 адреса, с которых похищено около 16 млн ADA (на тот момент примерно $2,4 млн).
- Потенциальный масштаб: По оценкам компании SlowMist, потенциальные потери могли достигать $20 млн, так как многие адреса оставались уязвимыми, даже если средства с них еще не были выведены.
- Экстренные меры: Чтобы спасти активы от злоумышленников, команда SecondFi в экстренном порядке перевела около 129 млн ADA на хранение независимому квалифицированному кастодиану
Команда SecondFi настоятельно предупреждает пострадавших пользователей не восстанавливать свои сид-фразы в других кошельках Cardano. Уязвимость находится на уровне самого адреса, а не конкретного приложения-кошелька, поэтому это не устранит риск, а лишь может привести к повторной краже средств.
SecondFi больше не вернется к работе в качестве сервиса. Ее будущее — это исключительно процесс возврата активов пострадавшим пользователям и помощь в безопасной миграции на другие платформы. EMURGO продолжает работать над техническими решениями и инструментами, чтобы завершить этот процесс.