Cardano生态SecondFi钱包遭攻击:1600万ADA被盗,紧急措施未能保全全部资产

6月23日,SecondFi团队在其Cardano区块链钱包中发现了一个严重漏洞。该平台立即进入安全维护模式,暂时冻结了所有用户通过界面的操作。开发人员随即着手分析事件的影响范围。
次日(6月24日),消息传出,攻击者已从374个地址中盗走约1600万枚ADA。根据我的估算,按当前ADA约0.146美元的价格计算,损失金额约为240万美元。然而,这并非终点——SecondFi团队宣布启动紧急措施,以保护剩余的1.29亿枚ADA,这些资金已被转移至一家独立且合格的托管机构进行保管。这些资金将分配给受影响的地址。
漏洞细节与生态系统反应
SecondFi正与Cardano生态系统的关键参与者积极合作,包括Input Output Global(IOG)、Cardano基金会、Intersect和SundaeSwap。事件原因已查明,并为未受影响的钱包发布了修复补丁。需要强调的是,该漏洞存在于地址层面,并在签署交易时显现。这意味着,仅仅在Cardano上的其他钱包中恢复助记词并不能解决问题——风险依然存在。
链上分析显示,共发生了四次资金提取事件。其中三次是攻击者的行为,而第四次很可能与团队为保护资金而转移1.29亿枚ADA有关。SecondFi并未对此提供直接确认,但逻辑指向了这一情景。
Immunefi首席执行官米切尔·阿马多尔指出了问题的根源:该项目软件泄露了由其自身生成的私钥。这是一个典型的密钥生成模块层面的漏洞案例,而非Cardano区块链本身的问题。这突显出攻击针对的是SecondFi的基础设施,而非协议本身。
IOG与EMURGO的立场
Cardano创始人查尔斯·霍斯金森迅速与该事件划清界限,称SecondFi并非IOG的产品。他强调,该公司在该项目中既无股份、也无控制权,更无业务关系。然而,值得提醒的是,SecondFi(前身为Yoroi钱包)背后是EMURGO——Cardano区块链的三位关键联合创始人之一。EMURGO将自己定位为技术商业应用的推动者,而这一事件给整个生态系统蒙上了阴影,尽管霍斯金森试图撇清关系。
霍斯金森还指出,IOG并未为SecondFi编写代码,也不对其负责。这合乎逻辑,但对于建立在去中心化和信任原则之上的Cardano社区而言,此类事件是对声誉的严重打击。回顾一下,2025年11月曾发生过一起事件:一个“沉睡”的Cardano钱包因通过非流动性池兑换1440万枚ADA而意外损失605万美元。此前,链上侦探ZachXBT曾将Cardano的运作模式称为“内部人士致富计划”。
我的专家观点:此次黑客攻击并非区块链的错误,而是SecondFi团队的直接疏忽,他们允许私钥在其自身软件层面泄露。对Cardano来说,这是一个警示信号:应用层面(尤其是钱包等关键应用)的安全问题,可能会削弱用户对整个生态系统的信任。市场已出现下跌反应,而恢复信任不仅需要EMURGO修复漏洞,还需要对其所有产品进行透明审计。