SecondFi关键漏洞利用:黑客盗取1600万ADA,团队紧急冻结1.29亿

2026年6月23日,此前名为Yoroi Wallet并由EMURGO开发的平台SecondFi,在其Cardano区块链钱包中遭遇严重漏洞。团队立即将平台转为安全维护模式,暂时通过界面封锁所有操作,以评估攻击规模。
6月24日,SecondFi确认攻击者已访问374个地址,并盗走约1600万枚ADA。按当前约0.146美元/枚的币价计算,直接损失估计为240万美元。然而,数据显示这只是故事的一部分。
紧急措施与漏洞披露
针对活跃的漏洞利用,SecondFi团队启动了紧急保护协议。他们成功将剩余的1.29亿枚ADA转移至独立的合格托管方,避免了资金完全损失。"资金将按照受影响地址的利益进行保管,"开发者表示,并强调他们正与Cardano生态关键参与者——IOG、Cardano基金会、Intersect和SundaeSwap——紧密协调合作。
分析显示,共记录到四次提款事件。其中三次为黑客行为,第四次很可能是团队为转移1.29亿枚ADA而主动发起。事件原因已查明,补丁已针对未受影响的钱包发布。关键漏洞位于地址层面:风险在签署交易时出现。这意味着在另一个Cardano钱包中简单恢复助记词无法消除威胁。SecondFi强烈建议用户不要在第三方钱包中恢复助记词,直至收到进一步指示。
专家观点与IOG立场
Immunefi首席执行官米切尔·阿马多尔直接指出软件错误:SecondFi的软件泄露了其自身生成的私钥。问题完全出在钱包模块,而非Cardano区块链本身。
Cardano创始人查尔斯·霍斯金森迅速将他的公司IOG与此事件划清界限。"这不是IOG的产品。我们对SecondFi没有股份、控制权、所有权或业务关系,"他表示,并将此比作微软产品的问题,苹果无需为此负责。霍斯金森强调,IOG并未编写此代码,也与它无关,尽管SecondFi背后是EMURGO——Cardano的联合创始人之一,负责商业推广。
我的分析:此事件生动展示了即使在同一生态系统中,也可能出现根本性的安全裂痕。尽管EMURGO是关键参与者,霍斯金森试图撇清问题的做法,开创了一个危险先例。Cardano用户应重新审视使用第三方钱包的风险,即使这些钱包与网络创始人有关联。在SecondFi应对后果之际,生态系统的信任正遭受严重打击。