资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
SecondFi 确定 Cardano 钱包攻击根源为地址级漏洞
基于 Cardano 构建的自托管钱包平台 SecondFi 表示,已识别出导致重大资产被盗的漏洞根本原因,目前正在与 Cardano 生态系统合作伙伴及独立调查人员协作,以进一步控制风险。
在最新更新中,该公司称已启动紧急控制措施,成功保护了约 1.29 亿枚 ADA,并将这些资产转移至独立的第三方托管机构。SecondFi 补充说,在完成身份及索赔验证之前,这些 ADA 将代为持有。此前,该公司估计约有 1600 万枚 ADA(约 240 万美元)从 374 个地址中被盗取。
关键要点
· SecondFi 将此次事件归因于其 Cardano 网页钱包生成软件中的漏洞,称存在“地址层面”的问题,影响用户签署交易时的安全性。
· 尽管 SecondFi 表示紧急措施已保护约 1.29 亿枚 ADA,但警告称在其他地方恢复助记词可能无法消除底层风险。
· Cardano 创始人 Charles Hoskinson 表示,SecondFi 并非 Input Output Global(IOG)的产品,并强调 IOG 与该钱包之间不存在所有权或控制关系。
· SecondFi 尚未发布完整的事后分析报告,但正在与调查人员及生态系统平台合作,以应对漏洞并提供修复指导。
应急控制与受影响资金规模
SecondFi 表示,此次入侵是在攻击者获取用户资金后发现的。周三,该平台确认已找到问题的根本原因,并联合生态系统利益相关者及区块链调查人员进入了响应模式。
作为控制措施的一部分,SecondFi 报告称已启动紧急机制,保障了约 1.29 亿枚 ADA 的安全。该公司已将这批资产转移至独立的第三方托管机构,并在完成身份及索赔验证前,将为受影响的用户代为持有。
周二,SecondFi 曾初步估算直接受影响金额为 1600 万枚 ADA(约 240 万美元),涉及 374 个地址。此前“预估受影响”金额与后来“已保护”金额之间的差异表明,补救和控制措施执行得足够迅速,阻止了初始盗取之外的进一步转移——不过 SecondFi 尚未提供两者关系的完整明细。
漏洞根源:密钥生成缺陷
SecondFi 尚未发布全面的事后分析报告,但已发布声明概述事件发生经过。据该平台称,漏洞可追溯至其 Cardano 网页钱包生成软件中的一个“地址层面”问题——具体来说,是一个影响用户在交易签名时的缺陷。
安全公司 Immunefi 的首席执行官 Mitchell Amador 告诉媒体,SecondFi 的钱包软件“暴露了其生成的私钥”。在他看来,区块链本身是安全的;相反,风险在于负责生成或处理加密密钥的代码——他指出,这一领域受到的审查往往不如区块链协议那样严格。
这一区别对用户至关重要。与链上共识失败或网络级漏洞不同,密钥生成弱点可以在链下被利用,而这种利用无法简单地通过事后切换前端界面来阻止。一旦私钥材料遭到泄露,攻击者即使底层链正常运作,也能利用它签署交易。
对用户建议:不要认为助记词“安全”
SecondFi 的修复指导强调,仅仅转移到其他钱包可能并不足够。该公司称“恢复到其他平台或钱包并不能消除风险”,并建议用户不要将助记词导入新的 Cardano 钱包。
这一建议与部分社区成员的主张不同。例如在 X 平台上,至少一位知名社区成员鼓励用户迁移受影响的钱包,并将资金转移至新创建的地址。SecondFi 的不同立场表明,他们担心风险可能超越原始界面而持续存在——因为助记词本身或密钥生成过程在重复使用时仍可能不安全。
对于受影响的用户来说,这是一个关键的操作差异。如果助记词已泄露,或者钱包软件使用有缺陷的逻辑反复生成密钥,那么在其他地方恢复助记词可能会重新制造同样的弱点。用户很可能需要遵循最保守的建议,直到 SecondFi 及安全合作伙伴发布更清晰的说明,明确究竟什么内容被泄露以及风险波及范围到底有多广。
霍斯金森回应:IOG 与 SecondFi 无所有权或控制关系
Cardano 创始人 Charles Hoskinson 就更广泛的责任问题发表了看法。在 X 平台上的一篇帖子中,霍斯金森表示 SecondFi 并非 Input Output Global 的产品,并强调该钱包与 IOG 之间不存在所有权、控制或商业关系。
霍斯金森还表示,IOG 的事件响应团队自周一以来一直与 SecondFi 保持联系,而 SecondFi 已请求进行独立安全审计。在周二的一段视频中,他进一步澄清说,IOG “不是 Emurgo”,也不能代表 Emurgo 就此次漏洞事件发言。
SecondFi 此前曾与 Yoroi 钱包的过渡相关联。据相关报道,该平台于 2026 年 4 月从 Yoroi 更名而来。Yoroi 最初由 Emurgo 开发,Emurgo 自称是 Cardano 的营利性分支机构,并将 Yoroi 定位为面向 ADA 用户的开源轻量级钱包。
综合来看,霍斯金森的评论凸显了加密货币钱包事件报道中常见的模糊性:用户和观察者往往认为,任何建立在“Cardano”上的钱包都会继承整个生态系统的监督。SecondFi 的情况——以及霍斯金森的明确澄清——表明,即便产品在同一个网络中运行,治理边界依然十分重要。
未来展望
接下来,关键未知因素是 SecondFi 是否会发布详细的事后分析报告,说明密钥生成流程的哪些部分失败,以及哪些修复措施能完全消除风险。关注此事件的用户应密切留意独立审计结果,以及 SecondFi 或 Cardano 安全合作伙伴关于如何安全转移资产且不再次引入相同弱点的任何更新。
