SecondFi被黑客攻击:因严重钱包漏洞被盗1600万ADA

Cardano生态系统遭遇严重安全事件。6月23日,曾用名Yoroi Wallet的SecondFi团队宣布其钱包出现问题,并立即将平台切换至安全维护模式。在开发人员评估损失规模期间,用户暂时无法通过界面进行交易。
次日(6月24日),SecondFi确认:攻击者从374个地址中盗取了约1600万枚ADA。根据我的计算,以攻击发生时ADA约0.146美元的价格计算,损失约为240万美元。这对该平台的信誉造成严重打击——它此前被定位为Cardano上自我托管金融的关键工具之一。
SecondFi团队表示,通过紧急措施成功保护了剩余的1.29亿枚ADA。这些资金目前正被转移至独立且合格的第三方托管机构,为受影响地址进行保管。然而,关键问题在于:漏洞究竟是如何发生的。
漏洞本质:地址层面的问题
调查发现,问题并非出在Cardano区块链本身,而是SecondFi钱包的密钥生成模块。Immunefi首席执行官米切尔·阿马多尔解释称,该项目的软件会泄露其自身生成的私钥。这意味着任何签署过交易的用户都可能已被入侵。
正因如此,SecondFi强烈建议用户不要在其他基于Cardano的钱包中恢复助记词——在根源问题解决之前,风险依然存在。共记录到四笔资金转出事件:三笔来自攻击者,一笔可能来自团队自身以保护资产。
IOG与查尔斯·霍斯金森的立场
Cardano创始人查尔斯·霍斯金森迅速与该事件划清界限。他在声明中强调,SecondFi并非Input Output Global(IOG)的产品。"我们与SecondFi毫无关联。我们没有股份、控制权、所有权或业务关系,"霍斯金森表示,并将此情况比作因微软产品问题向苹果公司投诉。
但值得注意的是,SecondFi背后是EMURGO——Cardano区块链的联合创始方之一,该公司自称是推动该技术商业应用的实体。因此,尽管IOG形式上不承担责任,该事件仍给整个生态系统蒙上阴影。
我的专业评估是:此次黑客攻击是行业的又一次警钟。密钥生成层面的漏洞是根本性缺陷,可能在其他项目中重演。用户应重新审视自身安全策略,或许应避免使用闭源或架构未经充分验证的钱包。Cardano无疑是强大的区块链,但此类事件会动摇人们对最可靠生态系统的信任。