SecondFi 漏洞:密钥生成缺陷导致 1600 万 ADA 被盗

6月23日,SecondFi团队宣布其Cardano区块链钱包出现严重安全问题,并立即将平台转入安全维护模式。用户在开发人员评估泄露规模期间,暂时无法通过界面进行操作。
次日(6月24日),SecondFi确认攻击者从374个地址盗取了约1600万枚ADA。按事件发生时ADA约0.146美元的价格计算,损失估计约为240万美元。
紧急措施与漏洞本质
为防止资金完全损失,SecondFi团队启动了紧急保护协议。项目代表表示:“已采取措施保护可用的1.29亿枚ADA。这些资金正被转移至独立合格的第三方托管机构,以受影响的地址利益进行保管。”
分析显示,事件中共发生四笔资金提取操作。其中三笔由攻击者完成,第四笔很可能是团队为保护资产而转移上述1.29亿枚ADA的操作。值得注意的是,SecondFi并未直接披露此次转移的细节。
Immunefi首席执行官米切尔·阿马多尔指出,问题出在项目自身的软件上:该软件泄露了其自行生成的私钥。因此,漏洞影响的并非Cardano区块链,而是负责生成密钥的钱包模块。正因如此,SecondFi强烈建议用户不要在其他基于Cardano的钱包中恢复助记词——风险依然存在。
IOG立场与创始人回应
Cardano创始人查尔斯·霍斯金森迅速与该事件划清界限。他在声明中强调:“我们与SecondFi毫无关联。我们没有持股、控制权、所有权或业务关系。这就像问苹果公司是否会解决微软产品的问题一样。”他还指出,IOG并未为SecondFi编写代码,与其也无任何关联。
值得注意的是,SecondFi(前身为Yoroi Wallet)背后是Cardano生态关键参与者EMURGO。在其文档中,EMURGO自称是推动该区块链商业应用的联合创始人。但霍斯金森明确表示,IOG既不控制EMURGO,也无法代表其发言。
此次事件再次引发DeFi领域的安全讨论。在我看来,核心教训在于:即便是基础设施解决方案背后的知名项目,也可能在代码层面犯下致命错误。Cardano用户需格外警惕,仔细核查所用钱包的可靠性,尤其是涉及密钥生成的钱包。当创始人纷纷撇清关系时,资产安全的最终责任仍落在终端用户肩上。