Cardano上的SecondFi漏洞:1600万ADA被盗与钱包信任危机

6月23日,SecondFi团队宣布其Cardano区块链钱包存在严重漏洞,并立即将平台转入安全维护模式。在开发人员评估事件影响期间,用户暂时无法通过界面进行交易操作。
次日(6月24日),SecondFi确认:攻击者从374个地址中盗走了约1600万枚ADA。据我估算,按攻击发生时ADA约0.146美元的价格计算,损失约为240万美元。这对该项目的声誉造成了沉重打击——该项目此前一直定位为Cardano生态的可靠工具。
紧急措施与问题规模
为防止资金全部损失,SecondFi团队启动了紧急协议,保护了剩余的1.29亿枚ADA。据开发人员称,这些资金正被转移至独立且合格的第三方托管机构,以受害地址的利益进行保管。然而,局势依然紧张:共记录到四起资金提取事件。其中三起为黑客所为,第四起很可能是团队自身转移约1.29亿枚ADA以保护资产的行为。SecondFi对此并未直接证实。
Immunefi首席执行官米切尔·阿马多尔指出了问题的根源:该项目的软件泄露了其自行生成的私钥。这表明问题出在密钥生成模块的根本性缺陷上,而非Cardano区块链本身。因此,SecondFi强烈建议用户不要在其他基于Cardano的钱包中恢复助记词——风险依然存在。
生态反应与IOG立场
Cardano创始人查尔斯·霍斯金森迅速将Input Output Global(IOG)与该事件划清界限。他表示,SecondFi并非IOG的产品,公司对该项目既无持股、也无控制权或业务关系。“我们没有编写这些代码,也与它无关,”霍斯金森强调。需要指出的是,SecondFi(前身为Yoroi Wallet)背后是EMURGO——Cardano生态的关键参与者之一,自称是该区块链的联合创始人。然而,霍斯金森明确表示,IOG并不控制EMURGO,也无法代表其发言。
这一事件对钱包的安全性提出了严峻质疑,即便是那些由大型生态参与者支持的钱包也不例外。此前,2025年11月,我们就曾目睹一个“休眠”的Cardano钱包因流动性池问题意外损失605万美元。而链上侦探ZachXBT此前曾将Cardano的运作模式称为“内部人士致富计划”。如今,我们又面临私钥直接泄露的问题。
我的分析:此次漏洞利用不仅是技术故障,更是对自称“下一代”DeFi平台密钥管理系统性风险的警示。在SecondFi和EMURGO处理善后事宜之际,用户对Cardano钱包的信任已遭动摇。市场将密切关注资金返还的速度与透明度,以及后续安全措施的改进。在此之前,我建议对使用任何未经审计的钱包保持极度谨慎。