Крипто әлеміндегі жаңалықтар

24.06.2026
15:49

SecondFi эксплойты: 16 миллион ADA кілттерді генерациялаудағы өлімге әкелетін осалдықтан ағып кетті

hack

23 маусымда Cardano блокчейніне арналған DeFi-шешімдерге маманданған SecondFi платформасы өз қызметтерін шұғыл түрде қауіпсіз қызмет көрсету режиміне ауыстыруға мәжбүр болды. Себеп — жоба әмиянындағы сыни осалдық, ол қаражаттың ауқымды ағып кетуіне әкелді. Әзірлеушілер апат ауқымын бағалау және әмияндардың одан әрі босатылуын болдырмау үшін пайдаланушы операцияларын дереу бұғаттады.

Шабуылдың ауқымы мен механизмі

Келесі күні, 24 маусымда, SecondFi командасы ең нашар қорқыныштарды растады: зиянкестер 374 мекенжайды сәтті бұзып, олардан шамамен 16 миллион ADA шығарды. Оқиға кезіндегі бағам бойынша (бір токен үшін шамамен $0,146) шығын $2,4 миллионды құрайды. Бұл «айсбергтің ұшы» ғана екенін атап өту маңызды — шабуыл әлдеқайда жойқын болуы мүмкін еді.

Тергеу барысында анықталғандай, осалдық Cardano блокчейні деңгейінде емес, тікелей SecondFi әмиянының жеке кілттерін генерациялау модулінде болған. Негізінде, жобаның бағдарламалық жасақтамасы пайдаланушы транзакцияға қол қойған кезде осы кілттерді «ашып», шабуылдаушыларға қолжетімді еткен. Бұл платформаны жай ғана ауыстыру немесе басқа әмиянда сид-фразаны қалпына келтіру мәселені шешпейтінін түсіндіреді — қауіп қосымшаның архитектурасында жасырынған.

Шұғыл шаралар және 129 миллион ADA-ны құтқару

Белсенді шабуылға жауап ретінде SecondFi командасы бұрын-соңды болмаған шаралар қабылдады. Өтімділіктің толық жоғалуын болдырмау үшін олар 129 миллион ADA-ны қолмен тәуелсіз білікті кастодианның мекенжайына ауыстырды. Бұл қаражат қауіпсіз және зардап шеккен пайдаланушылар арасында кейіннен бөлуге арналған. Барлығы қаражатты шығарудың төрт ірі оқиғасы тіркелді: үшеуі — хакерлердің жұмысы, төртіншісі — команданың активтерді құтқару операциясы.

Экожүйенің реакциясы және IOG ұстанымы

Оқиға Cardano қауымдастығында шиеленіс толқынын тудырды. Блокчейн негізін қалаушы Чарльз Хоскинсон және оның Input Output Global (IOG) компаниясы болған оқиғадан алшақтауға асықты. Хоскинсон SecondFi IOG өнімі емес екенін, оларда «үлес те, бақылау да, іскерлік қарым-қатынас та жоқ» екенін тікелей мәлімдеді. Ол жағдайды Apple-ден Microsoft өнімінің мәселесін шешуді сұраумен салыстырды. Дегенмен, SecondFi (бұрынғы Yoroi Wallet) Cardano экожүйесінің негізін қалаушылардың бірі ретінде танылатын EMURGO компаниясына тиесілі екенін атап өткен жөн.

Сарапшы пікірі: Бұл оқиға — бір қосымшаның қауіпсіздік архитектурасындағы іргелі қате тіпті Cardano протоколы бұзылмаса да, бүкіл блокчейнге деген сенімді қалай әлсіретуі мүмкін екенінің айқын мысалы. Қауымдастық үшін бұл дабыл қоңырауы: желінің беделі тек базалық қабаттың сенімділігіне ғана емес, сонымен қатар онда жұмыс істейтін бағдарламалық жасақтаманың сапасына да негізделеді. Мұндай ағып кетуден кейін сенімді қалпына келтіру айларға созылуы мүмкін, және бұл кілттерді генерациялау кодын аудиттеуден үнемдейтін барлық DeFi-жобалар үшін сабақ.