Exploit SecondFi Opróżnia 374 Portfele Cardano, Ponad 16 Milionów ADA Skradzionych w Skoordynowanym Ataku

TLDR:

• Exploit SecondFi opróżnił 374 portfele Cardano w czterech zdarzeniach ataku między 21 a 23 czerwca 2026 roku.
• Około 16 milionów ADA o wartości 2,4 mln USD zostało skradzionych przez dwóch zidentyfikowanych atakujących w trzech zautomatyzowanych falach.
• Działania ratunkowe w trybie awaryjnym zabezpieczyły około 129 milionów ADA, a dedykowany fundusz przywracania został już ustanowiony.
• Dotknięte portfele są trwale skompromitowane; użytkownicy muszą unikać samodzielnego przywracania frazy seed lub migracji aktywów.
  

Największy dostawca portfeli Cardano, SecondFi, doznał poważnego naruszenia bezpieczeństwa między 21 a 23 czerwca 2026 roku. Exploit SecondFi opróżnił środki z 374 adresów portfeli w czterech oddzielnych zdarzeniach ataku.

Skompromitowano około 16 milionów ADA o wartości około 2,4 miliona USD. EMURGO, współzałożycielska jednostka Cardano, wystąpiła z formalną aktualizacją incydentu, nakreślając środki naprawcze i zobowiązując się do pełnego zwrotu kosztów wszystkim dotkniętym użytkownikom.

Zakres ataku i identyfikacja atakujących

Exploit SecondFi rozwinął się w trzech zautomatyzowanych falach, z których każda w szybkiej kolejności atakowała wiele portfeli. Analiza kryminalistyczna zidentyfikowała dwóch odrębnych sprawców odpowiedzialnych za naruszenie. Atakujący A działał w falach 1 i 2, opróżniając 171 portfeli poprzez skoordynowane zautomatyzowane partie.

SecondFi publicznie ujawnił adresy atakujących dla pełnej przejrzystości wobec społeczności. Atakujący A używał trzech portfeli zbiorczych i centralnego adresu opłat, wszystkich powiązanych z jednym kluczem stake. Atakujący B działał niezależnie w Fali 3, przeczesując 203 dodatkowe portfele w osobnym zautomatyzowanym przebiegu.

Według wpisu SecondFi na X, ponad 4 miliony ADA powiązanych z Atakującym B pozostaje na jednym oznaczonym adresie zbiorczym.

Adres ten jest obecnie aktywnie monitorowany i badany przez zespół. Organy ścigania i właściwe władze zostały powiadomione w ramach formalnej reakcji na incydent.

Szybkość i koordynacja ataku wskazywały na z góry zaplanowaną operację z udziałem wielu podmiotów. Analitycy bezpieczeństwa opisali ją jako wysoce wyrafinowane przedsięwzięcie, a nie opportunistyczne naruszenie.

Reagowanie kryzysowe i odzyskiwanie aktywów

Po początkowym odkryciu 22 czerwca SecondFi natychmiast uruchomił protokoły reagowania awaryjnego. Zespoły inżynieryjne odizolowały wektor exploita i wdrożyły środki naprawcze, aby zapobiec dalszemu narażeniu. Platforma została przeniesiona w tryb konserwacji jako krok izolacyjny.

Wiodąca zewnętrzna firma zajmująca się bezpieczeństwem, wraz z dodatkowymi niezależnymi partnerami, została powołana do przeprowadzenia pełnego audytu na poziomie kodu.

SecondFi potwierdził, że nie wznowi normalnej działalności do czasu zakończenia tych przeglądów. Stanowisko to odzwierciedla celowe dążenie do priorytetowego traktowania bezpieczeństwa użytkowników ponad szybkość operacyjną.

Dzięki awaryjnym działaniom ratunkowym SecondFi z powodzeniem zabezpieczył około 129 milionów ADA w ramach szerszych działań izolacyjnych.

Wszystkie odzyskane aktywa są obecnie bezpiecznie przechowywane w trakcie kontynuowania procesu odzyskiwania. Dedykowany fundusz przywracania został już ustanowiony w celu wsparcia zwrotu kosztów.

EMURGO potwierdziło w swoim oświadczeniu, że mapowanie adresów portfeli zostało ukończone, co pozwala na przejście odzyskiwania do kolejnej fazy. Dotknięci użytkownicy otrzymają bezpośrednie wskazówki za pośrednictwem oficjalnych kanałów dotyczące kroków wymaganych do bezpiecznego przywrócenia dostępu.

Krytyczne ostrzeżenia dla dotkniętych użytkowników

SecondFi wydał stanowcze ostrzeżenie bezpieczeństwa dla wszystkich posiadaczy dotkniętych portfeli po naruszeniu. Skompromitowane portfele muszą być traktowane jako trwale skompromitowane na poziomie adresu i klucza prywatnego. Samo przywrócenie frazy seed w innej aplikacji portfela nie wyeliminuje ryzyka bezpieczeństwa.

Użytkownicy są zdecydowanie odradzani od samodzielnego przenoszenia aktywów lub próby migracji skompromitowanych portfeli na własną rękę.

Podjęcie jednostronnych działań mogłoby narazić ich na dalsze straty lub wtórne exploity. Oficjalny proces odzyskiwania jest jedyną bezpieczną ścieżką dla dotkniętych kont.

SecondFi i EMURGO potwierdziły, że opracowywany jest ustrukturyzowany proces roszczeń oparty na weryfikacji. Chociaż ten proces może zająć dodatkowy czas, jest zaprojektowany tak, aby przez cały czas zapewniać dokładność i bezpieczeństwo. Dotknięci użytkownicy są kierowani do śledzenia @secondfiapp na X w celu uzyskania wszystkich oficjalnych aktualizacji.

Incydent wywołał skoordynowaną reakcję z całego ekosystemu Cardano. Jednostki założycielskie, partnerzy i członkowie społeczności szybko zmobilizowali się, aby wesprzeć działania izolacyjne. Ta zbiorowa reakcja pomogła ograniczyć szersze ryzyko sieciowe w krytycznym okresie.

Wpis SecondFi Exploit Drains 374 Cardano Wallets, Over 16 Million ADA Stolen in Coordinated Attack pojawił się po raz pierwszy na Blockonomi.