加密新闻

24.06.2026
17:04

SecondFi 漏洞:密钥生成缺陷导致 1600 万 ADA 被盗

hack

6月23日,SecondFi团队宣布其Cardano区块链钱包出现严重安全问题,并立即将平台转入安全维护模式。用户在开发人员评估泄露规模期间,暂时无法通过界面进行操作。

次日(6月24日),SecondFi确认攻击者从374个地址盗取了约1600万枚ADA。按事件发生时ADA约0.146美元的价格计算,损失估计约为240万美元。

紧急措施与漏洞本质

为防止资金完全损失,SecondFi团队启动了紧急保护协议。项目代表表示:“已采取措施保护可用的1.29亿枚ADA。这些资金正被转移至独立合格的第三方托管机构,以受影响的地址利益进行保管。”

分析显示,事件中共发生四笔资金提取操作。其中三笔由攻击者完成,第四笔很可能是团队为保护资产而转移上述1.29亿枚ADA的操作。值得注意的是,SecondFi并未直接披露此次转移的细节。

Immunefi首席执行官米切尔·阿马多尔指出,问题出在项目自身的软件上:该软件泄露了其自行生成的私钥。因此,漏洞影响的并非Cardano区块链,而是负责生成密钥的钱包模块。正因如此,SecondFi强烈建议用户不要在其他基于Cardano的钱包中恢复助记词——风险依然存在。

IOG立场与创始人回应

Cardano创始人查尔斯·霍斯金森迅速与该事件划清界限。他在声明中强调:“我们与SecondFi毫无关联。我们没有持股、控制权、所有权或业务关系。这就像问苹果公司是否会解决微软产品的问题一样。”他还指出,IOG并未为SecondFi编写代码,与其也无任何关联。

值得注意的是,SecondFi(前身为Yoroi Wallet)背后是Cardano生态关键参与者EMURGO。在其文档中,EMURGO自称是推动该区块链商业应用的联合创始人。但霍斯金森明确表示,IOG既不控制EMURGO,也无法代表其发言。

此次事件再次引发DeFi领域的安全讨论。在我看来,核心教训在于:即便是基础设施解决方案背后的知名项目,也可能在代码层面犯下致命错误。Cardano用户需格外警惕,仔细核查所用钱包的可靠性,尤其是涉及密钥生成的钱包。当创始人纷纷撇清关系时,资产安全的最终责任仍落在终端用户肩上。