SecondFi 遭黑客攻击:钱包关键漏洞导致 1600 万 ADA 被盗

Cardano生态系统遭受了严重的声誉打击:此前名为Yoroi Wallet的平台SecondFi遭到攻击,攻击者盗走了约1600万枚ADA。该事件于6月23日被记录,随后项目团队立即将平台切换至安全维护模式,通过界面封锁了所有用户操作。
据我掌握的数据,此次攻击波及了374个地址。事件发生时,ADA价格约为0.146美元,这意味着损失约合240万美元。然而,这只是冰山一角:SecondFi团队表示,紧急措施保护了剩余的1.29亿枚ADA,这些资产目前正转移至独立合格托管方保管。这表明潜在灾难的规模要大得多。
攻击细节:地址层面的问题
调查发现,漏洞并非源于Cardano区块链本身,而是出在负责生成私钥的钱包模块上。正如Immunefi首席执行官米切尔·阿马多尔所指出的,SecondFi的软件直接泄露了其自身生成的密钥。这是安全架构的根本性缺陷。
SecondFi团队证实,风险出现在签署交易的那一刻。正因如此,他们强烈建议用户不要尝试在其他基于Cardano的钱包中恢复助记词——这非但无法解决问题,反而会扩大攻击面。总共记录了四次资金转移事件:三次由攻击者操作,第四次据推测是团队为保护资产而紧急转移的1.29亿枚ADA,尽管这一点并未明确披露。
IOG与EMURGO的立场:谁该负责?
Cardano创始人查尔斯·霍斯金森迅速与该事件划清界限,称SecondFi并非Input Output Global(IOG)的产品。他强调,IOG与这一平台既无股权关联,也无控制权或业务往来。然而,重要的是要明白,SecondFi背后站着EMURGO——Cardano区块链的三位关键联合创始人之一,其定位是推动该技术商业应用的引擎。
这一事件再次引发了关于Cardano生态系统治理去中心化的讨论。形式上,IOG和EMURGO是独立实体,但对社区而言,它们是一个统一的“核心”组成部分。霍斯金森将SecondFi比作“微软的产品”,而IOG则是“苹果”,这恰恰凸显了关键参与者之间的分裂以及统一安全标准的缺失。
我的分析:此次攻击并非简单的技术故障,而是对整个行业敲响的警钟。因密钥生成的根本性错误导致1600万枚ADA被盗,这是产品基础设计层面的失败。当创始人互相推卸责任时,用户却在损失真金白银。这一事件应成为重新审视钱包安全审计标准的催化剂,尤其是那些在其生态系统中自称“主流”的钱包。