加密新闻

24.06.2026
08:11

Cardano生态中SecondFi遭黑客攻击:实际损失或达2000万美元

在Cardano生态系统中运营的SecondFi项目已确认发生一起严重安全事件。原因是其自有的钱包生成软件存在漏洞。据团队初步估计,直接损失约为1600万ADA(约合240万美元),但独立分析师的数据显示,实际损失可能超过2000万美元。

内部调查发现,漏洞出现在该公司开发的Cardano钱包生成器中。团队已进行链上分析以评估损失规模,并聘请了一家第三方区块链安全公司进行独立技术审计。

损失评估存在分歧

安全公司SlowMist创始人余弦认为,实际损失可能远高于官方公布的数字。他对攻击者资金流向和钱包活动的分析显示,用户的理论损失可能超过2000万美元。

据Cos估计,与此事件相关的损失可能高达1.29亿ADA及其他代币——这比项目方最初的估算高出数倍。他指出已追踪到两个疑似攻击者地址。

SlowMist与SecondFi的评估差距约为八倍,这一差异仍然显著。这可能意味着部分被入侵的钱包尚未被清空,但仍处于易受攻击状态。只要资产尚未全部转移,用户面临的威胁就依然存在。

漏洞的危害及用户应对措施

此次威胁触及了资产自主保管的根本原则。存在漏洞的软件生成的私钥随机性可预测,导致通过该程序创建的所有钱包都面临风险。初步评估显示,约178个钱包受到影响。

SecondFi是Yoroi更名后的产品,Yoroi是Cardano最早且最受欢迎的"轻量级"钱包之一,拥有超过百万ADA持有者用户。该钱包由Cardano三大创始公司之一的EMURGO开发,并于2026年6月初完成品牌重塑。因此,此次攻击造成的声誉打击比匿名项目遭遇的事件更为严重。

该项目已暂停运营,进入维护模式,并对用户余额进行了快照。团队呼吁所有通过其软件创建钱包的用户立即将资产转移至其他服务商的钱包。SecondFi将继续调查,并承诺在技术审计完成后公布确切的损失金额。

我的分析:这起事件再次提醒我们,即使是历史悠久、备受尊敬的项目,代码中也可能存在严重错误。可预测的密钥生成是审计人员和开发人员都不应忽视的基础问题。Cardano用户应重新审视自己的安全策略:将资产仅托管于硬件钱包或经过多次审计、开源且可信的解决方案。在行业为"轻量级"钱包制定统一安全标准之前,此类攻击仍将不断发生。