SecondFi приостанавливает обслуживание после уязвимости приватных ключей, которая раскрыла ADA Wallets.

SecondFi, ранее ассоциировавшаяся с брендом кошелька Yoroi, приостановила работу после того, как критическая ошибка в её проприетарном веб-программном обеспечении для генерации кошельков, по сообщениям, раскрыла приватные ключи и привела к крупной краже ADA. Первоначальные отчёты оценили потери примерно в 16 миллионов ADA, или около 2,4 миллиона долларов, в 374 кошельках, в то время как компания по кибербезопасности SlowMist предупредила, что общий ущерб может превысить 129 миллионов ADA, или более 20 миллионов долларов в активах. Инцидент вызвал срочные предупреждения для пострадавших пользователей, но уязвимость была локализована в программном обеспечении генерации кошельков SecondFi, а не в самом протоколе блокчейна Cardano.

Уязвимость приватных ключей SecondFi раскрывает кошельки ADA

Уязвимость была связана с генерацией приватных ключей в проприетарном веб-программном обеспечении кошелька SecondFi. Если приватные ключи генерировались небезопасно или были раскрыты, злоумышленники могли получить доступ к кошелькам, даже если базовый блокчейн продолжал нормально работать. Первоначальные оценки указывали на кражу 16 миллионов ADA из 374 кошельков, что эквивалентно примерно 2,4 миллиона долларов по указанной стоимости. Позже компания по кибербезопасности SlowMist предупредила, что общий ущерб может превысить 129 миллионов ADA, или более 20 миллионов долларов в активах.

Протокол Cardano остаётся незатронутым

Сама сеть Cardano не была взломана или скомпрометирована. Проблема была локализована в программном обеспечении генерации кошельков, используемом SecondFi, что означает, что риск сосредоточен на затронутых кошельках и приватных ключах, а не на консенсусе базового уровня или безопасности реестра Cardano. Компрометация кошелька может быть серьёзной, особенно при задействовании приватных ключей, но это принципиально отличается от эксплойта на уровне протокола.

SecondFi выпускает срочные предупреждения безопасности для пользователей

Пострадавшим пользователям не следует восстанавливать скомпрометированные сид-фразы в других кошельках. Если сами приватные ключи были сгенерированы небезопасно или раскрыты, импорт той же фразы восстановления в другое место не решает проблему. Это может просто перенести те же скомпрометированные учётные данные в новый интерфейс. SecondFi также предупредила о непроверенных ссылках для восстановления или сторонних платформах возврата средств. Пользователям следует полагаться только на официальные обновления SecondFi и признанные рекомендации по безопасности.

Часто задаваемые вопросы

Что стало причиной инцидента с кошельком ADA от SecondFi? Критическая ошибка в проприетарном веб-программном обеспечении генерации кошельков SecondFi, по сообщениям, раскрыла приватные ключи, что позволило злоумышленникам получить доступ к кошелькам и украсть ADA.

Был ли скомпрометирован протокол блокчейна Cardano в инциденте с SecondFi? Нет. Сама сеть Cardano не была взломана или скомпрометирована. Уязвимость была локализована в программном обеспечении генерации кошельков SecondFi, а не в консенсусе базового уровня или безопасности реестра Cardano.

Что делать пострадавшим пользователям SecondFi после уязвимости приватных ключей? Пострадавшим пользователям не следует восстанавливать скомпрометированные сид-фразы в других кошельках, так как импорт той же фразы восстановления не решает проблему. Пользователям следует полагаться только на официальные обновления SecondFi и признанные рекомендации по безопасности, избегая непроверенных ссылок для восстановления или сторонних платформ возврата средств.