SecondFi 漏洞:密钥生成致命缺陷导致 1600 万 ADA 被盗

6月23日,专注于Cardano区块链DeFi解决方案的平台SecondFi被迫紧急将其服务切换至安全维护模式。原因是项目钱包中存在一个严重漏洞,导致大规模资金泄露。开发人员立即封锁了用户操作,以评估灾难规模并防止钱包进一步被掏空。
攻击规模与机制
次日(6月24日),SecondFi团队证实了最坏的担忧:攻击者成功入侵了374个地址,并从中盗取了约1600万枚ADA。按事件发生时约0.146美元/枚的汇率计算,损失估计达240万美元。需要强调的是,这只是“冰山一角”——攻击本可能更具破坏性。
调查发现,漏洞并非存在于Cardano区块链层面,而是直接出现在SecondFi钱包的私钥生成模块中。实际上,该项目的软件在用户签署交易时会“暴露”这些私钥,使其在那一刻被攻击者获取。这解释了为何简单更换平台或在其他钱包中恢复助记词无法解决问题——危险已嵌入应用架构本身。
紧急措施与1.29亿枚ADA的拯救
面对持续攻击,SecondFi团队采取了前所未有的措施。为防止流动性完全丧失,他们手动将1.29亿枚ADA转移至一个独立合格托管机构的地址。这些资金目前安全,将用于后续分配给受损用户。共记录到四起重大资金提取事件:三起为黑客所为,第四起是团队自身的资产拯救操作。
生态系统反应与IOG立场
该事件在Cardano社区引发紧张情绪。区块链创始人查尔斯·霍斯金森及其公司Input Output Global(IOG)迅速与事件划清界限。霍斯金森明确表示,SecondFi并非IOG产品,双方“既无股份、控制权,也无业务关系”。他将此比作要求苹果解决微软产品的问题。但值得注意的是,SecondFi(前身为Yoroi Wallet)隶属于EMURGO公司,而EMURGO自称是Cardano生态系统的联合创始人之一。
专家观点: 此事件鲜明地表明,一个应用安全架构的根本性错误可能动摇对整个区块链的信任,即便Cardano协议本身未被攻破。对社区而言,这是一记警钟:网络声誉不仅取决于底层层的可靠性,也取决于其上运行的软件质量。此类泄露后重建信任可能需要数月时间,这对所有在密钥生成代码审计上节省成本的DeFi项目都是一课。