Кастодиальный кошелек SecondFi (ранее известный как Yoroi), работающий в сети Cardano, столкнулся с серьезной утечкой средств из-за уязвимости в собственном программном обеспечении. Ошибка в процессе генерации и подписи транзакций позволила злоумышленникам скомпрометировать приватные ключи пользователей. По предварительным данным компании, инцидент затронул около 374 адресов, а прямой ущерб составил примерно 16 млн ADA, что эквивалентно $2,4 млн по курсу на 23 июня 2026 года. При этом сам базовый протокол Cardano не пострадал.

Суть проблемы кроется в детерминистической ошибке при выводе параметра nonce, используемого для подписи. Этот дефект позволил хакерам восстановить приватные ключи из публичных данных блокчейна для уязвимых адресов. Инцидент подчеркивает растущий тренд в криптоиндустрии: злоумышленники все чаще атакуют не сами блокчейн-протоколы или смарт-контракты, а клиентскую инфраструктуру, отвечающую за создание и хранение ключей. В качестве экстренной меры SecondFi переместила около 129 млн ADA к независимому стороннему кастодиану для сохранности и последующего возврата средств. Однако аналитики из SlowMist полагают, что реальные потери, включая альткоины и NFT, могут превышать $20 млн.

Ситуация осложняется противоречивыми рекомендациями: SecondFi советует пользователям не импортировать сид-фразы в другие кошельки и не подписывать транзакции до получения официальных инструкций, тогда как независимые эксперты призывают немедленно эвакуировать средства на новые адреса. На этом фоне в сети активизировались фишинговые аккаунты, имитирующие техподдержку. Основатель Cardano Чарльз Хоскинсон отдельно подчеркнул, что SecondFi не имеет никаких бизнес-связей или отношений владения с его компанией IOG. Тем не менее, команда реагирования IOG уже вышла на контакт с платформой, которая запросила проведение независимого аудита безопасности.