Уязвимость в кошельке Cardano привела к потере $2,4 млн

Платформа SecondFi — кастодиальный кошелёк на блокчейне Cardano, ранее известный как Yoroi, — сообщила о серьёзном инциденте безопасности: уязвимость в программном обеспечении для генерации кошельков позволила злоумышленникам скомпрометировать приватные ключи пользователей. По данным компании, атака затронула около 374 адресов, а подтверждённые потери составили примерно 16 млн ADA — эквивалент $2,4 млн по курсу на момент инцидента 23 июня 2026 года.

В чём суть уязвимости

Проблема локализована на уровне адресов в собственном ПО SecondFi для генерации и подписи транзакций. Речь идёт о детерминистической ошибке в выводе nonce — параметра, используемого при подписании транзакций. Из-за этого дефекта приватный ключ можно реконструировать из публичных данных блокчейна для затронутых адресов (прежде всего с индексом 0). Сам протокол Cardano при этом не пострадал.

Эта проблема становится на характерной для всей отрасли: код, генерирующий ключи, — это та часть, которую никто не аудирует как смарт-контракт. Злоумышленники всё активнее переключаются с атак на блокчейн-протоколы на инфраструктуру, которая создаёт и хранит криптографические ключи.

Экстренные меры и расхождение в оценках ущерба

В ответ на инцидент SecondFi инициировала экстренные меры: около 129 млн ADA были перемещены к независимому стороннему кастодиану для сохранности и последующего возврата пострадавшим пользователям. Компания работает с внешними аудиторами и партнёрами над верификацией и процессом возврата средств.

Аналитическая фирма SlowMist оценила реальный масштаб потерь значительно выше официальных цифр. По её данным, основанным на анализе ончейн-активности адресов атакующего, совокупный ущерб с учётом токенов и NFT может превысить $20 млн, поскольку многие кошельки оставались уязвимыми.

Разногласия в рекомендациях и позиция Хоскинсона

Официальная позиция SecondFi расходится с советами ряда специалистов по безопасности из сообщества. Компания рекомендует не восстанавливать сид-фразу в других кошельках Cardano и воздерживаться от подписания транзакций с затронутых адресов до получения официальных инструкций. Некоторые члены сообщества, напротив, призывают пользователей немедленно перевести средства на новые адреса. араллельно фиксируется рост числа фишинговых аккаунтов, имитирующих службу поддержки.

Основатель Cardano Чарльз Хоскинсон (Charles Hoskinson) уточнил, что SecondFi не имеет никакого отношения к его компании IOG и между кошельком и ею нет отношений владения, управления или бизнес-партнёрства. При этом Хоскинсон отметил, что команда реагирования на инциденты IOG вышла на связь с SecondFi и платформа запросила независимый аудит безопасности.

Инцидент показывает, что уязвимости в клиентском ПО для работы с ключами способны нанести ущерб, сопоставимый с атаками на смарт-контракты, — даже когда базовый блокчейн не пострадал. SecondFi продолжает работу по верификации пострадавших адресов и возврату средств через независимого кастодиана.

Мнение ИИ

Анализ исторических паттернов показывает: случай SecondFi встает в один ряд с инцидентом Upbit, когда биржа также выявила уязвимость, позволявшую вычислить приватные ключи через анализ публичных данных блокчейна — там слабые предсказуемые подписи привели к краже $30 млн. Совпадение не случайно: предсказуемые параметры при формировании подписи — повторяющаяся слабость именно клиентского ПО, а не протоколов.

Статистика отрасли подтверждает масштаб проблемы шире одного случая: за последние десять лет компрометация приватных ключей и инфраструктуры их хранения нанесла ущерб порядка $17 млрд, превзойдя потери от багов в смарт-контрактах. Код подписания транзакций редко проходит тот же аудит, что смарт-контракты — он живет в «слепой зоне» безопасности. Вопрос на размышление: сколько еще кастодиальных кошельков несут в себе такую же спящую ошибку, просто еще не обнаруженную?

▼
Самые интересные и важные новости на нашем канале в Telegram