SecondFi planuje zwrot 2,4 miliona dolarów po ataku na portfele Cardano
PO
Przemysław OlędzkiRedaktor Bitcoin.pl
Kluczowe wnioski
- EMURGO deklaruje rozpoczęcie zwrotu 16 milionów ADA użytkownikom aplikacji SecondFi w ciągu czternastu dni.
- Niezależny raport Tibane Labs wskazuje, że przyczyną kradzieży było wdrożenie niezaudytowanego kodu, który ujawniał klucze prywatne.
- Podatność dotyczy wyłącznie transakcji podpisywanych od 8 czerwca 2026 roku..
EMURGO, jeden z podmiotów tworzących blockchain Cardano, zidentyfikował ścieżkę odzyskiwania środków dla użytkowników portfela SecondFi i zamierza rozpocząć procedurę zwrotu aktywów w ciągu dwóch tygodni. Między 21 a 23 czerwca 2026 roku zewnętrzni sprawcy wykorzystali krytyczny błąd w oprogramowaniu i wyczyścili 374 adresy. Łupem napastników padło około 16 milionów tokenów ADA o ówczesnej wartości 2,4 miliona dolarów.
Dyrektor generalny EMURGO, Phillip Pon, poinformował w oficjalnym oświadczeniu, że firma zakończyła dochodzenie śledcze i zweryfikowała salda na poszkodowanych kontach. Harmonogram zakłada tydzień na zbudowanie mechanizmu zwrotów oraz kolejny tydzień na jego testy bezpieczeństwa.
Firma apeluje, aby poszkodowani nie wykonywali żadnych ruchów na przejętych portfelach, ponieważ system naprawczy powstaje na bazie ich aktualnego stanu. Przedstawiciele projektu podkreślają, że SecondFi nigdy nie będzie wymagać podawania fraz seed ani kluczy prywatnych.
Awaryjne przesunięcie środków z aplikacji SecondFi
Oprócz trzech udanych ataków zewnętrznych deweloperzy odnotowali czwarte zdarzenie, które miało charakter ratunkowy. Zespół SecondFi podjął decyzję o przymusowym transferze 129 milionów ADA do niezależnego, zewnętrznego powiernika, zabezpieczając te fundusze przed hakerami. W celu weryfikacji tych zasobów zatrudniono zewnętrzną firmę audytorską, a poszkodowani właściciele mogą zgłaszać roszczenia przez oficjalną stronę wsparcia.
Służby ratunkowe zidentyfikowały dwa portfele sprawców. Pierwszy z nich posłużył do opróżnienia 171 adresów, natomiast drugi był wykorzystany do drenażu kolejnych 203 kont. Około 4 miliony ADA z ukradzienej puli trafiły na publicznie oznaczony adres zbiorczy, który jest stale monitorowany. Przedsiębiorstwo przekazało zebrane dowody organom ścigania.
Problem jest bardzo poważny, ponieważ samo odtworzenie frazy odzyskiwania w innej aplikacji nie likwiduje zagrożenia. Ryzyko aktywuje się w momencie, gdy dany adres generuje podpis transakcji wewnątrz wadliwej architektury.
Kulisy błędu kryptograficznego w kodzie SecondFi
Równoległe śledztwo przeprowadziła konkurencyjna firma Tibane Labs, która opublikowała własny raport techniczny. Eksperci Tibane Labs wykazali, że błąd nie wynikał z ponownego użycia tak zwanych nonce, lecz z wadliwej implementacji podpisu cyfrowego Ed25519. Moduł podpisujący aplikację porzucił tajny element generowany dla każdego klucza, przez co system obliczał poufne dane wyłącznie na podstawie publicznych informacji o transakcji.
Do rekonstrukcji klucza prywatnego wystarczył jeden podpis użytkownika. Każdy obserwator sieci mógł bez problemu wyliczyć te dane.
Tibane Labs wskazała konkretne źródło problemu – eksperymentalny, pozbawiony audytu pakiet SDK o nazwie trantor. Biblioteka ta pojawiła się w rejestrze npm i 8 czerwca zastąpiła wcześniejszy, bezpieczny kod dostarczony przez EMURGO. Dokładnie tego samego dnia w blockchainie zarejestrowano pierwszy przejęty podpis cyfrowy. Analitycy potwierdzili tę teorię poprzez dekompilację publicznej wersji aplikacji na system Android.
Konsekwencje wdrożenia niezweryfikowanego oprogramowania
Przedstawiciele Tibane Labs oceniają ten incydent jako poważną porażkę w procesie zarządzania produktem. Twórcy wprowadzili niesprawdzony kod bezpośrednio do środowiska produkcyjnego bez żadnych niezależnych testów. Badaczka ds. cyberbezpieczeństwa Taylor Monahan również potwierdziła, że oprogramowanie portfela miało zamknięty kod źródłowy i nie przeszło wymaganych weryfikacji zewnętrznych.
Yoroi przez wiele lat stanowił fundamentalny element infrastruktury Cardano, zanim w kwietniu przeszedł rebranding na markę SecondFi. Incydent uderza wizerunkowo w jedną z kluczowych organizacji ekosystemu w momencie, gdy kurs ADA oscyluje w granicach wieloletnich minimów. Według danych technicznych Tibane Labs bezpieczne pozostają jedynie transakcje podpisane przed 8 czerwca, gdy działała stara implementacja.
O autorze
PO
Przemysław Olędzki
Tematyką aktywów cyfrowych i technologii blockchain zainteresowałem się w 2017 roku, a od 2020 roku działam w niej zawodowo. Moje główne obszary zainteresowań to transformacja cyfrowa oraz skalowanie projektów Web3. Swoją wiedzą dzielę się poprzez publikacje oraz wystąpienia na wydarzeniach branżowych w Polsce i za granicą. Prowadzę kurs dotyczący Web3 na uczelni wyższej oraz aktywnie działam w stowarzyszeniu technologicznym. Prywatnie interesuję się tematyką zdrowia, treningu siłowego oraz optymalizacji wydajności.
Chcesz być na bieżąco? Zaobserwuj nas w
ObserwujGoogle News
Newsletter Bitcoin.pl
Najważniejsze newsy i insiderskie informacje prosto na Twój email.
Dbamy o ochronę Twoich danych. Polityka Prywatności