SecondFi钱包在Cardano上遭黑客攻击:1600万ADA被盗,374个地址受影响

2026年6月23日,曾名为Yoroi Wallet的平台SecondFi宣布其Cardano区块链钱包存在严重漏洞。攻击者利用该漏洞从374个地址中盗取了约1600万枚ADA。按当前ADA约0.146美元的价格计算,损失估计约为240万美元。团队立即将平台切换至安全维护模式,暂时冻结了通过界面进行交易的功能。
SecondFi在声明中强调,紧急措施保护了剩余的1.29亿枚ADA免遭全部损失。这些资金已被转移至一家独立的合格托管机构,以受损地址的利益为优先进行保管。共记录到四笔资金提取事件:其中三笔由黑客完成,第四笔可能与团队为保护资产而采取的行动有关。不过,这一点并未明确说明。
漏洞原因:地址层面的问题
事件分析显示,漏洞存在于地址层面,并影响了交易签名过程。Immunefi首席执行官米切尔·阿马多尔指出,SecondFi的软件泄露了其自身生成的私钥。问题并非出在Cardano区块链本身,而是钱包中负责密钥生成的模块。正因如此,SecondFi强烈建议用户不要在其他基于Cardano的钱包中恢复助记词——风险依然存在。
团队已查明原因,并为未受损的钱包发布了修复补丁。目前正与Cardano生态系统的关键参与者——Input Output Global(IOG)、Cardano基金会、Intersect和SundaeSwap——积极合作。
IOG与查尔斯·霍斯金森的立场
Cardano创始人查尔斯·霍斯金森迅速将IOG与此事件划清界限。他在声明中强调,SecondFi并非IOG的产品,该公司与该项目没有任何股份、控制权或业务关系。“我们没有编写这段代码,也与它无关,”霍斯金森表示,并将此情况比作因微软产品的问题去找苹果公司。
值得注意的是,SecondFi的背后是EMURGO——Cardano区块链的联合创始人之一,该公司自称是推动该技术商业应用的核心力量。然而,霍斯金森强调,IOG并不控制EMURGO,也无法代表其发言。
此次事件再次引发了对Cardano生态系统中钱包安全性的质疑,尤其是在近期一起事件中,一个“休眠”钱包通过非流动性池意外兑换了1440万枚ADA,损失达605万美元。分析师ZachXBT此前曾将Cardano的运作模式称为“内部人士致富计划”,而类似事件只会进一步佐证他的观点。
Cryptalist专家观点:因生成错误导致私钥泄露,是信任“自我托管”可能被糟糕代码破坏的典型案例。用户应仔细核查钱包的声誉和审计情况,而非仅依赖生态系统中的响亮名号。Cardano尽管秉持科学方法,也无法避免此类漏洞,而这一事件将严重打击对SecondFi乃至间接对EMURGO的信任。