重點整理:
- SecondFi 的錢包生成軟體存在漏洞,導致私鑰外洩,並於 6 月 23 日遭駭
- 已確認損失達 1600 萬枚 ADA(約 240 萬美元),SlowMist 預估總損失恐逾 2000 萬美元
- SecondFi 已暫停營運,並敦促其逾 100 萬名用戶立即轉移資金
返回
SecondFi漏洞導致錢包私鑰外洩,Cardano資產損失逾2000萬美元
前身為 Yoroi 的 Cardano 錢包 SecondFi,因 6 月 23 日攻擊者利用其錢包生成軟體的漏洞,損失至少 1600 萬枚 ADA。
SecondFi 在聲明中指出:「根本原因可追溯至我們自有 Cardano 錢包生成軟體的一個問題。」該公司補充表示,目前已凍結帳戶餘額並進入維護模式。
區塊鏈安全公司 SlowMist 創辦人余弦(亦稱 Cos)估計,總損失可能超過 2000 萬美元,受影響的 ADA 代幣數量恐高達 1.29 億枚。最初估計的 1600 萬枚 ADA 損失與 SlowMist 的預測之間存在差距,反映出評估與錢包相關攻擊的難度——攻擊者可能仍保有私鑰的存取權限。SecondFi 確認約有 178 個錢包直接遭到入侵。
此次攻擊事件嚴重打擊了 Cardano 生態系統的信譽。Emurgo 作為 Cardano 三大創始實體之一,最初打造了 Yoroi,隨後於 2026 年 4 月更名為 SecondFi。如今,逾 100 萬名用戶被告知應將其錢包視為存在風險,此事件引發外界質疑 Emurgo 是否會承擔賠償責任——而該組織至今尚未對此作出回應。
SecondFi 將漏洞追溯至其基於網頁的錢包生成系統,該系統負責處理新錢包及私鑰的創建。團隊表示,該程序中的一個缺陷導致攻擊者能夠生成或存取與特定錢包相關的私鑰。硬體錢包及未與受影響生成程序連結的助記詞則未受波及。
團隊已對餘額進行完整快照,並正與 IOG、Cardano 基金會、IntersectMBO 及 SundaeSwap 協調應對方案。SecondFi 也正與外部區塊鏈安全公司完成技術審查,以確認損害範圍。
安全分析師指出,在攻擊事件發生後的數小時內,詐騙分子便開始模仿 SecondFi 的官方通訊渠道,散布偽造的復原工具,藉此竊取擔憂用戶的憑證。
對於更廣泛的 Cardano 生態系統而言,此事件提醒人們,若應用層工具使用戶暴露於操作風險之中,僅有鏈上安全是不夠的。SecondFi 尚未公布何時恢復正常營運,以及受影響用戶是否會獲得賠償。
本文僅供資訊參考,不構成投資建議。
