加密新闻

24.06.2026
16:05

攻击SecondFi:1600万ADA因关键密钥生成漏洞被盗

hack

6月23日,SecondFi团队在其Cardano区块链钱包中发现严重漏洞。平台立即切换至安全维护模式,暂时冻结所有用户操作。开发人员随即紧急评估事件影响范围。

次日(6月24日)消息显示,攻击者已从374个地址盗取约1600万枚ADA。根据我的计算,以攻击发生时ADA约0.146美元的价格计算,直接损失约240万美元。但经验表明,项目声誉及用户信任的间接损失可能高出数倍。

SecondFi团队表示,为阻止资金完全流失已启动紧急保护协议。剩余1.29亿枚ADA被迅速转移至独立合格的第三方托管机构。这些资产将用于保护受影响地址的利益,但具体返还机制尚未披露。

事件深度分析

调查发现,漏洞存在于地址层面,风险在签署交易时触发。这意味着简单将资金转移至其他钱包或平台无法消除威胁。因此SecondFi强烈建议用户不要在任何其他Cardano钱包中恢复助记词。

据团队数据,共记录四次资金转出事件。其中三次为攻击者所为,第四次推测由团队为紧急保护资产而发起。虽无直接证据,但应急响应逻辑支持这一推断。

Immunefi首席执行官米切尔·阿马多尔指出根本原因:SecondFi软件泄露了其自行生成的私钥。问题根源不在Cardano区块链,而在于钱包的密钥生成模块。这是典型的应用层而非协议层错误。

生态关键参与方立场

Cardano创始人查尔斯·霍斯金森迅速与事件划清界限。他强调SecondFi并非Input Output Global(IOG)产品,公司与此项目无任何商业关系。霍斯金森将情况类比为因微软产品问题向苹果投诉。

但值得注意的是,SecondFi(前身为Yoroi Wallet)背后是EMURGO——Cardano区块链三位联合创始人之一。EMURGO在其文档中自称推动商业技术应用的公司。这一事实造成微妙局面:IOG形式上无需担责,但生态战略伙伴却犯下关键错误。

我的分析:此事件再次警示,DeFi与加密货币的安全性不仅取决于协议可靠性,更依赖应用层代码质量。因生成器错误导致私钥泄露是致命缺陷,将动摇整个细分领域的信任基础。尽管Cardano生态在L1层展现韧性,但此类应用层事件可能严重阻碍其大规模普及。市场早已要求开发者不仅提供功能,更需在技术栈各层级实现零妥协的安全保障。