6月23日,Cardano生态核心钱包应用SecondFi(原Yoroi)披露重大安全事件,其在线钱包生成机制存在严重缺陷,已造成部分用户私钥外泄,引发资金被盗。
根据初步追踪结果,此次攻击直接波及178个数字钱包账户,已核实的损失达1600万ADA,折合当前市值约240万美元。除原生代币外,多种非同质化通证及多链资产亦在此次事件中被非法转移。
SecondFi指出,问题根源在于其Cardano钱包创建流程中的代码缺陷。事件曝光后,平台立即暂停全部交易功能,并向用户发出紧急通知,要求尽快将资产迁移至经验证的安全钱包。
区块链安全机构SlowMist评估,此次漏洞可能影响范围远超已确认数据,预估整体风险敞口高达1.29亿ADA,潜在总损失或突破2000万美元。目前确认损失与高风险区间之间的差额表明,仍有大量未被发现的受感染钱包处于暴露状态。
私钥是控制加密资产的核心凭证,一旦泄露,攻击者可绕过所有授权机制完成资产转移。该事件凸显了去中心化应用中密钥管理环节的脆弱性。
直接受影响钱包数量:178个;已确认损失:1600万ADA;等值美元金额:约240万美元;潜在风险总量:最高达1.29亿ADA。
为防止进一步损失,SecondFi已实施账户冻结措施,系统进入维护状态。作为拥有逾百万用户的主流钱包,平台强调所有通过该漏洞生成的钱包均存在安全隐患,建议用户视为不可信。
截至目前,尚未公布对受损用户的赔偿方案。全面安全审查正在进行中,但具体审计结论和修复进度仍未对外披露。
SecondFi前身为Yoroi,于2026年4月正式更名。原项目由Emurgo(Cardano三大创始组织之一)主导开发,长期被视为轻量级、可信的官方钱包解决方案,广泛服务于无需运行完整节点的用户。
此次事故发生在具有深厚生态背书的钱包上,而非普通第三方服务,使社区对Cardano底层基础设施的安全性产生强烈质疑。这一背景显著放大了事件的冲击力。
SlowMist进一步指出,与SecondFi相关联的潜在总损失可能超过2000万美元,更多受污染钱包仍面临被攻破的风险。
安全团队提醒,漏洞事件后可能出现第二轮网络钓鱼攻击。不法分子正冒充官方渠道,传播伪装成“资产恢复工具”的恶意程序,以骗取用户私钥或助记词。
专家建议:所有曾使用SecondFi或旧版Yoroi网页端的用户应立即生成全新密钥对,并将资金转移至经过严格验证的冷钱包或可信热钱包。然而,平台仍未公布恢复正常服务的时间表,也未设定公开安全报告的发布时间。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.