SecondFi әмиянының Cardano-дағы бұзылуы: 16 млн ADA ұрланды, шұғыл шаралар барлық активтерді сақтап қалмады

23 маусымда SecondFi командасы Cardano блокчейніндегі өз әмиянында сыни осалдықты анықтады. Платформа дереу қауіпсіз қызмет көрсету режиміне ауыстырылды, бұл интерфейс арқылы барлық пайдаланушы операцияларын уақытша бұғаттады. Әзірлеушілер оқиғаның ауқымын талдауға кірісті.
Келесі күні, 24 маусымда, зиянкестер 374 мекенжайдан шамамен 16 миллион ADA шығарып үлгергені белгілі болды. Менің бағалауымша, ADA-ның ағымдағы бағамы шамамен $0,146 болғанда, шығын сомасы шамамен $2,4 миллионды құрайды. Алайда, белгілі болғандай, бұл шек емес — SecondFi командасы қалған 129 миллион ADA-ны қорғау үшін төтенше шараларды іске қосқанын мәлімдеді, бұл қаражат тәуелсіз білікті кастодианға сақтауға жіберілді. Бұл қаражат зардап шеккен мекенжайлар арасында бөлінетін болады.
Эксплойттың егжей-тегжейлері және экожүйенің реакциясы
SecondFi Cardano экожүйесінің негізгі ойыншыларымен, соның ішінде Input Output Global (IOG), Cardano Foundation, Intersect және SundaeSwap-пен белсенді ынтымақтасады. Оқиғаның себебі анықталды және зардап шекпеген әмияндар үшін түзету шығарылды. Осалдық мекенжай деңгейінде екенін және транзакцияға қол қою кезінде көрінетінін атап өту маңызды. Бұл Cardano-дағы басқа әмиянда сид-фразаны қалпына келтіру мәселені шешпейтінін білдіреді — тәуекелдер сақталады.
Тізбекті талдау қаражатты шығарудың төрт оқиғасы болғанын көрсетеді. Оның үшеуі — зиянкестердің жұмысы, ал төртіншісі, ықтимал, 129 миллион ADA-ны команданың өзі қорғау үшін жылжытуына байланысты. Бұған SecondFi-ден тікелей растау келмеді, бірақ логика дәл осы сценарийді ұсынады.
Immunefi бас директоры Митчелл Амадор мәселенің түбірін көрсетті: жобаның бағдарламалық жасақтамасы өзі жасаған жеке кілттерді ашты. Бұл Cardano блокчейнінің өзі емес, кілттерді генерациялау модулі деңгейіндегі осалдықтың классикалық жағдайы. Бұл шабуыл дәл SecondFi инфрақұрылымына бағытталғанын, протоколға емес екенін көрсетеді.
IOG және EMURGO позициясы
Cardano негізін қалаушы Чарльз Хоскинсон оқиғадан алшақтауға асығып, SecondFi IOG өнімі емес екенін мәлімдеді. Ол компанияның бұл жобада үлесі де, бақылауы да, іскерлік қатынасы да жоқ екенін атап өтті. Алайда, SecondFi (бұрын Yoroi Wallet ретінде белгілі) Cardano блокчейнінің үш негізгі құрылтайшысының бірі EMURGO-ға тиесілі екенін еске салу керек. EMURGO өзін технологияны коммерциялық енгізудің қозғаушы күші ретінде көрсетеді және бұл оқиға Хоскинсонның алшақтау әрекеттеріне қарамастан, бүкіл экожүйеге көлеңке түсіреді.
Хоскинсон сондай-ақ IOG SecondFi үшін код жазбағанын және оған жауап бермейтінін атап өтті. Бұл қисынды, бірақ орталықсыздандыру және сенім принциптеріне негізделген Cardano қауымдастығы үшін мұндай оқиғалар беделге ауыр соққы болып табылады. Еске салайын, 2025 жылдың қарашасында Cardano-ның «ұйықтап жатқан» әмияны өтімсіз пул арқылы 14,4 миллион ADA айырбастау кезінде кездейсоқ $6,05 миллион жоғалтқан жағдай болған. Ал бұған дейін ончейн-детектив ZachXBT Cardano жұмыс істеу моделін «инсайдерлерді байыту схемасы» деп атаған.
Менің сараптамалық пікірім: Бұл бұзушылық блокчейннің қатесі емес, жеке кілттердің өз бағдарламалық жасақтамасы деңгейінде ағып кетуіне жол берген SecondFi командасының тікелей немқұрайлылығы. Cardano үшін бұл алаңдатарлық сигнал: қосымшалар деңгейіндегі, әсіресе әмияндар сияқты маңызды құралдардағы қауіпсіздік мәселелері пайдаланушылардың экожүйеге деген сеніміне нұқсан келтіруі мүмкін. Нарық құлдыраумен жауап берді және сенімді қалпына келтіру EMURGO-дан осалдықты жою ғана емес, сонымен қатар өз өнімдерінің барлығына ашық аудит жүргізуді талап етеді.