SecondFi призупиняє обслуговування після виявлення дефекту приватного ключа, який викрив гаманці ADA

SecondFi, раніше асоційована з брендом гаманця Yoroi, призупинила роботу після того, як критична вразливість у її власному програмному забезпеченні для генерації веб-гаманців, за повідомленнями, викрила приватні ключі та призвела до значної крадіжки ADA. Початкові звіти оцінювали втрати приблизно в 16 мільйонів ADA, або близько 2,4 мільйона доларів, на 374 гаманці, тоді як компанія з кібербезпеки SlowMist попередила, що загальний вплив може перевищити 129 мільйонів ADA, або понад 20 мільйонів доларів в активах. Інцидент спричинив термінові попередження для постраждалих користувачів, але вразливість була локалізована в програмному забезпеченні для генерації гаманців SecondFi, а не в самому протоколі блокчейну Cardano.

Уразливість приватних ключів SecondFi викриває гаманці ADA

Вразливість була зосереджена на генерації приватних ключів у власному програмному забезпеченні веб-гаманця SecondFi. Якщо приватні ключі були згенеровані небезпечно або викриті, зловмисники могли отримати доступ до гаманців, навіть якщо базовий блокчейн продовжував працювати нормально. Початкові оцінки вказували на 16 мільйонів ADA, вкрадених з 374 гаманців, що дорівнює приблизно 2,4 мільйона доларів за вказаною оцінкою. Компанія з кібербезпеки SlowMist пізніше попередила, що ширший вплив може перевищити 129 мільйонів ADA, або понад 20 мільйонів доларів в активах.

Протокол Cardano залишається нескомпрометованим

Сама мережа Cardano не була зламана або скомпрометована. Проблема була локалізована в програмному забезпеченні для генерації гаманців, яке використовувала SecondFi, тобто ризик стосувався постраждалих гаманців і приватних ключів, а не безпеки консенсусу базового рівня або книги обліку Cardano. Компрометація гаманця може бути серйозною, особливо коли йдеться про приватні ключі, але принципово відрізняється від експлойту на рівні протоколу.

SecondFi випускає термінові попередження щодо безпеки користувачів

Постраждалі користувачі не повинні відновлювати скомпрометовані сид-фрази в інших гаманцях. Якщо приватні ключі були згенеровані небезпечно або викриті, імпорт тієї самої фрази відновлення в інше місце не вирішує проблему. Це може просто перенести ті самі скомпрометовані облікові дані в новий інтерфейс. SecondFi також попередила про неперевірені посилання на відновлення або сторонні платформи для повернення коштів. Користувачі повинні покладатися лише на офіційні оновлення SecondFi та визнані рекомендації з безпеки.

FAQ

Що спричинило інцидент з гаманцем ADA SecondFi? Критична вразливість у власному програмному забезпеченні для генерації веб-гаманців SecondFi, за повідомленнями, викрила приватні ключі, що дозволило зловмисникам отримати доступ до гаманців і вкрасти ADA.

Чи був скомпрометований протокол блокчейну Cardano під час інциденту з SecondFi? Ні. Сама мережа Cardano не була зламана або скомпрометована. Вразливість була локалізована в програмному забезпеченні для генерації гаманців SecondFi, а не в безпеці консенсусу базового рівня або книги обліку Cardano.

Що слід робити постраждалим користувачам SecondFi після вразливості приватних ключів? Постраждалі користувачі не повинні відновлювати скомпрометовані сид-фрази в інших гаманцях, оскільки імпорт тієї самої фрази відновлення не вирішує проблему. Користувачі повинні покладатися лише на офіційні оновлення SecondFi та визнані рекомендації з безпеки, а також уникати неперевірених посилань на відновлення або сторонніх платформ для повернення коштів.