Beli Kripto
Bayar dengan
USD
USD
Beli & Jual
Hot
Mendukung Visa, Mastercard, SEPA, dll.
P2P
0 Fees
Perdagangan fleksibel, nol biaya
Gate Card
Gunakan kripto untuk pembayaran global
Market
Perdagangan
Dasar
Lanjutan
Futures
Futures
Akses ribuan kontrak perpetual
CFD
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Pengantar tentang Perdagangan Futures
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Stocks
CFD
Derivatif CFD Saham AS
Saham AS
Akses saham AS dan ETF yang nyata
Saham HK
Perdagangkan saham berkualitas yang terdaftar di Hong Kong
Saham Korea
SK Hynix
Perdagangkan Saham Korea Nyata dan Berinvestasi pada Aset Populer
Saham Futures
Leverage tinggi, perdagangan 24/7
Tokenized Stocks
Didukung oleh aset saham nyata
IPO Access
Buka akses penuh ke IPO saham global
GUSD
Mint GUSD untuk Imbal Hasil Treasury RWA
Aktivitas Saham
Perdagangkan Saham Populer dan Dapatkan Airdrop yang Melimpah
Earn
Peluncuran
CandyDrop
tag
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
IPO Access
Buka akses penuh ke IPO saham global
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Square
Kotak
Temukan nilai dalam kripto
Live
moments live
Analisis live pasar kripto
Chat
Mengobrol dengan trader kripto
Berita
Apa yang terjadi di kripto
flower_head
Lainnya
Promosi
AI
Lainnya
TradFi
2026 World Cup
Hadiah

SecondFi Memetakan Pemulihan Eksploitasi ADA senilai 2,4 Juta Dolar AS, Menetapkan Tenggat Waktu Dua Minggu

EthanBrooks
Insiden KeamananPerkembangan ProyekTindakan Penegakan Hukum
ADA-1,40%

EMURGO, salah satu entitas pendiri blockchain Cardano, mengumumkan pada hari Sabtu bahwa mereka telah mengidentifikasi solusi pemulihan untuk pengguna dompet SecondFi, menyusul eksploitasi yang menguras sekitar 2,4 juta dolar AS dalam bentuk ADA antara 21-23 Juni. CEO Phillip Pon menyatakan perusahaan telah menyelesaikan investigasi forensik dan memvalidasi saldo dompet, menetapkan jangka waktu dua minggu untuk mengembalikan dana — satu minggu untuk membangun mekanisme pemulihan dan satu minggu lagi untuk mengujinya. Pelanggaran tersebut memengaruhi 374 alamat dan berasal dari apa yang digambarkan perusahaan sebagai cacat tingkat alamat dalam perangkat lunak pembuatan dompet yang mengekspos kunci pribadi pengguna. EMURGO adalah salah satu dari tiga organisasi pendiri jaringan Cardano, dan SecondFi adalah versi rebranding dari dompet Yoroi yang diluncurkan pada bulan April.

Dalam pernyataan yang diunggah ke X, Pon memberi tahu pengguna yang terkena dampak untuk tidak memindahkan dana atau mengambil langkah di luar panduan resmi SecondFi, dengan mengatakan bahwa pemulihan sedang dibangun berdasarkan keadaan saat ini dari dompet yang disusupi. Ia menambahkan bahwa belum ada langkah yang memerlukan partisipasi pengguna yang dimulai, dan bahwa SecondFi tidak akan pernah meminta kunci pribadi, frasa pemulihan, atau akses dompet. Unggahan hari Sabtu adalah pertama kalinya perusahaan memberikan jadwal konkret untuk pemulihan. Mereka belum menerbitkan postmortem teknis lengkap, memberikan jumlah pemulihan per pengguna, atau merinci bagaimana pengguna dapat mengklaim dana.

SecondFi Catat Pengurasan 2,4 Juta Dolar AS di 374 Alamat pada 21-23 Juni

SecondFi menjelaskan empat peristiwa pengurasan dompet antara 21-23 Juni. Tiga di antaranya dilakukan oleh penyerang eksternal, yang mengambil sekitar 16 juta ADA, setara dengan sekitar 2,4 juta dolar AS saat itu, dari 374 alamat. Pada peristiwa keempat, SecondFi mengatakan mereka memindahkan sekitar 129 juta ADA ke kustodian pihak ketiga yang independen sebagai langkah darurat untuk menjaga dana dari para penyerang. Disebutkan bahwa sebuah firma akuntansi eksternal telah dilibatkan untuk memverifikasi kepemilikan tersebut, dan pengguna yang terkena dampak dapat mengajukan klaim melalui situs dukungan mereka.

Perusahaan mengatakan telah mengidentifikasi dua dompet penyerang, satu menguras 171 dompet dan lainnya 203 dompet, dan bahwa sekitar 4 juta ADA terkait pencurian berada di alamat koleksi yang ditandai dalam pemantauan. Mereka mengatakan telah memberi tahu penegak hukum.

Tibane Labs Mengaitkan Pelanggaran dengan SDK Tidak Teraudit yang Digunakan pada 8 Juni

SecondFi telah menyalahkan cacat tingkat alamat dalam perangkat lunak pembuatan dompet yang mengekspos kunci pribadi pengguna. Mereka telah memperingatkan bahwa memulihkan frasa pemulihan yang terpengaruh di dompet lain tidak menghilangkan risiko, karena eksposur dipicu ketika alamat yang disusupi menandatangani transaksi.

Tibane Labs menerbitkan laporan forensik tentang insiden tersebut pada hari Sabtu. Tibane Labs sedang mengembangkan dompetnya sendiri, dan temuan mereka melacak klaim publik yang dibuat sebelumnya di X oleh Mark Karpelès, mantan CEO Mt. Gox yang merupakan bagian dari tim tersebut, yang berarti analisisnya berasal dari pihak yang bersaing.

Tibane mengatakan pelanggaran itu bukan karena penggunaan ulang nonce, melainkan kesalahan penandatanganan Ed25519. Menurut laporan, penanda tangan dompet menjatuhkan rahasia per-kunci yang dicampurkan standar ke setiap tanda tangan, sehingga nilai yang seharusnya rahasia dihitung hanya dari data transaksi publik. Hal itu membuatnya dapat diturunkan oleh siapa pun dan membuat satu tanda tangan cukup untuk merekonstruksi kunci pribadi, tanpa memerlukan transaksi kedua atau serangan statistik.

Tibane mengatakan penanda tangan yang rentan adalah SDK eksperimental tanpa audit bernama trantor, yang diterbitkan ke npm oleh pengembang independen, yang menggantikan build EMURGO yang sebelumnya telah dikirimkan dan diaudit pada 8 Juni. Tanda tangan pertama yang disusupi muncul di rantai pada hari yang sama, menurut laporan. Tibane mengatakan perpustakaan kriptografi yang mendasarinya baik-baik saja dan kesalahan terletak pada bagaimana dompet menghubungkan kunci ke dalamnya, sehingga material nonce rahasia tidak diatur. Mereka mengatakan telah mendekompilasi build Android yang ditandatangani, mencocokkannya dengan kode trantor, dan memulihkan kunci pribadi korban dari tanda tangan historis untuk mengonfirmasi mekanisme.

EMURGO belum menerbitkan postmortem teknis dan belum secara publik menanggapi atribusi Tibane ke SDK pihak ketiga. Secara terpisah, peneliti keamanan Taylor Monahan mengatakan minggu ini bahwa SecondFi "menggulung kripto mereka sendiri" dan bahwa perangkat lunaknya bersumber tertutup dan tidak diaudit.

EMURGO Hadapi Pertanyaan Tata Kelola atas Penerapan Kode Tanpa Audit

Yoroi telah menjadi dompet ringan utama Cardano selama bertahun-tahun sebelum rebranding SecondFi pada bulan April, dan EMURGO adalah salah satu dari tiga organisasi pendiri jaringan. Tibane membingkai episode ini bukan sebagai kesalahan pengkodean melainkan kegagalan tata kelola, dengan alasan bahwa entitas pendiri mengirimkan kode tanpa audit ke produksi menggantikan build yang diaudit, tanpa tinjauan independen atau pengujian yang akan menangkap cacat.

Menurut ukuran Tibane, hanya tanda tangan yang dibuat mulai 8 Juni yang terekspos, dan transaksi yang ditandatangani sebelum tanggal itu menggunakan implementasi yang diaudit.

Tanya Jawab (FAQ)

Apa yang terjadi pada pengguna dompet SecondFi antara 21-23 Juni? Penyerang eksternal menguras sekitar 2,4 juta dolar AS dalam bentuk ADA dari 374 alamat di tiga peristiwa terpisah. EMURGO memindahkan tambahan 129 juta ADA ke kustodian pihak ketiga sebagai langkah darurat.

Kapan EMURGO mengumumkan jadwal pengembalian dana? CEO EMURGO Phillip Pon mengumumkan pada hari Sabtu bahwa perusahaan telah mengidentifikasi solusi pemulihan dan menetapkan jadwal dua minggu — satu minggu untuk membangun mekanisme pemulihan dan satu minggu lagi untuk mengujinya sebelum pengembalian dimulai.

Apa yang menyebabkan eksploitasi dompet SecondFi menurut Tibane Labs? Tibane Labs mengaitkan pelanggaran tersebut dengan kesalahan penandatanganan Ed25519 dalam SDK tidak teraudit bernama trantor, yang menggantikan build EMURGO yang diaudit pada 8 Juni. Laporan tersebut menyatakan bahwa penanda tangan yang rentan menjatuhkan material rahasia per-kunci, sehingga memungkinkan kunci pribadi direkonstruksi dari satu tanda tangan.

Lihat Sumber
Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.

Berita Terkait

1jam yang lalu
SecondFi Merencanakan Pemulihan ADA Senilai 2,4 Juta Dolar AS dalam Dua Minggu Setelah Eksploitasi Dompet
12jam yang lalu
SecondFi Menyelesaikan Snapshot Aset Terakhir, Berharap Mulai Memberikan Imbal Hasil dalam Dua Minggu
21jam yang lalu
SecondFi Menangguhkan Layanan Setelah Cacat Kunci Pribadi Mengekspos 16 Juta ADA
Artikel Terkait

Binance Charity Menjanjikan Bantuan USDT Senilai 3 Juta Dolar AS untuk Korban Gempa Venezuela

Crypto Frontier7jam yang lalu

ADA Turun ke Level Terendah dalam Beberapa Tahun, Tapi Mungkinkah Ini Menjadi Peluang Pembelian Terbaik?

Crypto News Land13jam yang lalu

SecondFi Menangguhkan Layanan Setelah Cacat Kunci Pribadi Mengekspos Dompet ADA

Ethan Brooks21jam yang lalu

Polymarket Mengonfirmasi $3M Pencurian dari Pengguna melalui Pelanggaran Pihak Ketiga

Ethan Brooks06-26 23:13

Trader Mendapat Keuntungan 4,4 Juta Dolar AS dengan Short pada Penurunan Bitcoin, Membuka Kembali Posisi $70M

Crypto Frontier06-26 16:34
Komentar
0/400
Tidak ada komentar