bitcoin.pl logo
BTC+0.86%
Bitcoin
$60,512227 817 zł
Cyberbezpieczeństwo
2026-06-26
4 min czytania

Portfel Yoroi zhakowany. $20 milionów ADA zagrożone, seed phrase nie pomoże

Michał Nalewajko
Michał NalewajkoRedaktor Bitcoin.pl
Futures03.25-PL_Images_728x90_04_v1b
Kluczowe wnioski:
  • SecondFi (dawny Yoroi) potwierdził trzy ataki między 21 a 23 czerwca: skradziono 16 milionów ADA, czyli około 2,4 miliona USD, z 374 portfeli.
  • Luka leżała w oprogramowaniu do generowania portfeli, a nie w sieci Cardano - hakerzy rekonstruowali klucze prywatne z danych publicznych na blockchainie.
  • Przeniesienie seed phrase do innego portfela NIE chroni poszkodowanych użytkowników. Luka działa na poziomie adresu, nie frazy odzysku.
  • Firma SlowMist szacuje, że łączne straty mogą przekroczyć 20 milionów USD, gdy uwzględni się wszystkie portfele, których klucze potencjalnie wyciekły.
Przez lata Yoroi był domyślnym portfelem każdego, kto zaczynał przygodę z Cardano. Prosty, przeglądarkowy, wspierany przez IOTA - wydawało się, że to bezpieczny start. Od środy wiemy, że pod spodem tkwiła luka, o której hakerzy wiedzieli już od 21 czerwca. Teraz setki użytkowników szuka odpowiedzi, co zrobić, kiedy klucze prywatne są już w rękach atakujących.

Jak hakerzy weszli przez drzwi, których nikt nie pilnował

SecondFi, jak Yoroi nazywa się teraz, potwierdził trzy osobne ataki. Wszystkie uderzyły w to samo miejsce: oprogramowanie do generowania portfeli. Konkretnie w sposób, w jaki portfel wyprowadzał klucze prywatne z podpisanych transakcji.
Kiedy dotknięty adres podpisywał transakcję na blockchainie, zostawiał w publicznych danych wystarczająco dużo informacji matematycznych, żeby atakujący mógł odtworzyć klucz prywatny. Bez włamania do serwera SecondFi. Bez phishingu. Wystarczyło poczekać, aż użytkownik sam podpisze cokolwiek, i zebrać dane z otwartego łańcucha.
Firma blockchain Bitquery opublikowała listę ponad 3 000 adresów, które mogą być dotknięte tym exploitem.

129 milionów ADA uratowane, ale nie bez strat

Zanim hakerzy zdążyli opróżnić kolejne portfele, zespół SecondFi wychwycił wzorzec ataków i przesunął 129 milionów ADA do niezależnego depozytariusza. To znacząca liczba, bo pokazuje, że skala zagrożenia była wielokrotnie większa niż to, co faktycznie skradziono.
Potwierdzono straty: 16 milionów ADA, czyli około 2,4 miliona USD, z 374 portfeli w trzech falach ataków. Firma bezpieczeństwa SlowMist szacuje jednak, że gdy uwzględnić wszystkie portfele z potencjalnie skompromitowanymi kluczami, łączne straty mogą przekroczyć 20 milionów USD. Niezależny audyt trwa.
Charles Hoskinson, twórca Cardano, skomentował incydent na X. Podkreślił, że luka dotyczy oprogramowania SecondFi, a nie protokołu Cardano. "Boli ich zawsze, gdy tracą cokolwiek" - napisał o poszkodowanych użytkownikach, bez owijania w bawełnę.

Dlaczego seed phrase tym razem niczego nie zmieni

To jest moment, w którym ta historia staje się inna niż większość historii o hackach. Zwykle porada brzmi: zabezpiecz seed phrase, przenieś fundusze do nowego portfela, odinstaluj podejrzane rozszerzenie. Tutaj ta rada nie działa.
Luka nie tkwi w frazie odzysku. Tkwi w adresie. Jeśli Twój adres w portfelu SecondFi/Yoroi kiedykolwiek podpisał transakcję, atakujący mógł odtworzyć jego klucz prywatny. Przeniesienie tych samych środków do "nowego" portfela w SecondFi wygeneruje nowy adres z tym samym podatnym oprogramowaniem. Przeniesienie seed phrase do innej aplikacji tej samej firmy da taki sam efekt.
Jedyna skuteczna ochrona: stworzenie zupełnie nowego portfela w innej aplikacji, niezwiązanej z SecondFi ani Yoroi, i przesłanie środków na nowy adres. Jeśli uważasz, że jesteś poszkodowany, nie podpisuj żadnej transakcji starym adresem, zanim to nie zrobisz.

Co zrobić, jeśli masz lub miałeś portfel Yoroi

Po pierwsze, sprawdź, czy Twój adres jest na liście poszkodowanych. Bitquery opublikował zestaw danych z ponad 3 000 adresów - możesz przefiltrować go po swoim adresie. To nie jest oficjalne narzędzie SecondFi, ale najbardziej szczegółowe publicznie dostępne źródło.
Po drugie, jeśli jesteś poszkodowany: złóż zgłoszenie bezpośrednio przez support.secondfi.io. Firma angażuje zewnętrznego audytora do weryfikacji zgłoszeń i planuje zwrot uratowanych środków.
Po trzecie, niezależnie od tego, czy jesteś na liście: jeśli kiedykolwiek korzystałeś z portfela Yoroi lub SecondFi i masz tam ADA, uważam, że warto przenieść środki na adres wygenerowany przez inną aplikację. Ledger, Typhon, Nami. Cokolwiek, co nie ma w nazwie "Yoroi" ani "SecondFi". Ostrożność nic nie kosztuje.

Co to oznacza dla Ciebie, nawet jeśli nie masz Cardano

Ataki na poziomie generowania kluczy, a nie seed phrase, to rosnąca kategoria zagrożeń dla całego rynku krypto. W odróżnieniu od phishingu i fałszywych stron, ten typ exploitu nie wymaga żadnego działania ze strony ofiary - wystarczy, że portfel istnieje i kiedykolwiek podpisał transakcję.
Uważam, że historia SecondFi powinna skłonić każdego, kto trzyma większe środki w portfelach przeglądarkowych lub aplikacyjnych, do ponownego przemyślenia swojej konfiguracji bezpieczeństwa. Hardware wallet nie rozwiązuje wszystkiego, ale izoluje generowanie kluczy od oprogramowania, które może zawierać błędy. Ten exploit tego nie dotknie.
Branża zapłaciła za tę lekcję do 20 milionów USD. Wyciągnij z niej wnioski, zanim zapłacisz Ty.
#Cardano#cyberbezpieczeństwo

O autorze

Michał Nalewajko
Michał Nalewajko

Interesuję się nowymi technologiami, kryptowalutami i AI. Nie uważam, że "kiedyś to było", tylko że "kiedyś to będzie" ;) W wolnym czasie podróżuję, gram w planszówki i gry wideo.

Chcesz być na bieżąco? Zaobserwuj nas w
Google News
Obserwuj

Newsletter Bitcoin.pl

Najważniejsze newsy i insiderskie informacje prosto na Twój email.

Dbamy o ochronę Twoich danych. Polityka Prywatności

BITCOIN.PL SZUKA REDAKTORÓW! ZAINTERESOWANY? ZGŁOŚ SIĘ DO NAS! :)