Эксплойт в системе безопасности, связанный с проектом кредитования на базе Cardano, потряс экосистему ADA в один из самых уязвимых для нее моментов. Эксплойт SecondFi на Cardano, связанный с уязвимостью в собственном программном обеспечении проекта для генерации кошельков, опустошил пользовательские кошельки на сумму от 16 миллионов до более чем 129 миллионов ADA — при этом общий ущерб, по оценке ведущего эксперта по блокчейн-безопасности, превышает 20 миллионов долларов.
Summary
Ключевые выводы
- Собственное программное обеспечение SecondFi для генерации кошельков содержало уязвимость, которая дала злоумышленникам доступ к нескольким пользовательским кошелькам — базовый протокол Cardano не был задействован.
- Оценка потерь варьируется от 16 миллионов ADA до более 129 миллионов ADA, плюс дополнительные токены; общий ущерб, по оценке основателя SlowMist Ю Сяня, превышает 20 миллионов долларов.
- После появления новости ADA упала на 3% и в настоящее время торгуется около минимальных значений за пять лет на уровне $0,150237.
- Основатель Cardano Чарльз Хоскинсон признал факт взлома, предупредив, что некоторые пользователи могли потерять все свои запасы ADA.
- SecondFi не объявила о каких-либо планах по возмещению или восстановлению средств и проходит техническую проверку совместно с независимой фирмой по блокчейн-безопасности.
SecondFi переживает крупный инцидент безопасности
Инцидент стал известен 24 июня, всего через день после запуска Cardano тестовой сети Leios Musashi Dojo — время, которое едва ли могло быть хуже для экосистемы, уже испытывающей трудности с привлечением разработчиков.
Уязвимость в собственном ПО для генерации кошельков
Взлом не был связан с самой блокчейн-сетью Cardano. Вместо этого команда SecondFi отследила атаку непосредственно до уязвимости в собственном программном обеспечении проекта для генерации кошельков. Эта уязвимость позволила злоумышленникам получить несанкционированный доступ к средствам, хранящимся сразу в нескольких пользовательских кошельках.
Это различие имеет значение. Базовый протокол Cardano не был скомпрометирован. Это был сбой на уровне приложения — напоминание о том, что даже если базовый код блокчейна остается надежным, проекты, построенные поверх него, могут вносить критические уязвимости.
Впоследствии SecondFi провела ончейн-анализ, чтобы определить, какие адреса кошельков пострадали, и оценить полный масштаб ущерба.
Масштаб и размах эксплойта
Цифры рисуют широкую и тревожную картину. Оценки ущерба варьируются от 16 миллионов ADA в нижней границе до более чем 129 миллионов ADA в верхней, при этом в скомпрометированных кошельках также хранились дополнительные токены, не относящиеся к ADA, полная стоимость которых не раскрывается.
При текущей цене ADA в $0,150237 верхняя оценка SlowMist в 129 миллионов ADA сама по себе соответствует примерно $19,4 миллиона. Ю Сянь, основатель фирмы по блокчейн-безопасности SlowMist, известный в сообществе под псевдонимом Cos, оценивает общий ущерб более чем в $20 миллионов с учетом этих дополнительных токенов.
Большой разрыв между нижней и верхней оценками отражает реальную неопределенность. Ончейн-анализ может сузить этот диапазон, но до завершения технической проверки полный масштаб ущерба остается неясным.
Влияние на экосистему Cardano и рынок ADA
Эксплойт ударил по токену, который уже находился под значительным давлением. ADA торговалась около минимальных значений за пять лет еще до новости о SecondFi, а взлом добавил новый негативный фактор к уже сложной ситуации.
Падение цены на фоне новостей об эксплойте
ADA упала на 3% в течение 24 часов после раскрытия информации об эксплойте, закрепившись на уровне $0,150237. В отрыве от контекста это может показаться умеренным движением, но для токена, находящегося у многолетних минимумов, дополнительное давление вниз имеет серьезное психологическое значение для держателей, которые долгое время наблюдали за падением стоимости актива.
Еще до этого инцидента Чарльз Хоскинсон предложил план спасения Cardano — шаг, который был встречен широкой скептической реакцией среди держателей ADA. Эксплойт теперь добавляет новый вызов доверия к экосистеме, которая и без того пыталась восстановить уверенность.
Целостность протокола Cardano и опасения разработчиков
Важно повторить, что основной блокчейн-протокол Cardano не был вектором атаки. Уязвимость полностью находилась в инфраструктуре SecondFi. Это различие важно для долгосрочной оценки экосистемы, но на практике в краткосрочной перспективе оно может дать лишь ограниченное утешение.
Эксплойт всплыл на следующий день после запуска тестовой сети Leios Musashi Dojo — события, которое вызвало некоторый оптимизм в отношении технической дорожной карты Cardano. Ранние ончейн-данные уже показывали лишь ограниченные признаки заметного роста активности. Громкий инцидент безопасности, связанный с проектом в экосистеме, независимо от того, где именно лежит техническая вина, может осложнить усилия по привлечению новых разработчиков и ликвидности в сеть в чувствительный момент.
Реакция и дальнейшие шаги
Ответ SecondFi до сих пор был сосредоточен на локализации и расследовании, а не на обязательствах по восстановлению средств.
Техническая проверка с независимой фирмой по безопасности
Проект сейчас сотрудничает с независимой фирмой по блокчейн-безопасности для проведения полной технической проверки. У этой проверки две основные цели: определить, остается ли какая-либо часть утраченных средств потенциально восстановимой, и выяснить, какие структурные изменения необходимо внести в инфраструктуру кошельков SecondFi до безопасного возобновления работы.
Сроки достижения этих результатов не обозначены. SecondFi не объявила планов по возмещению или какой-либо форме компенсации пострадавшим пользователям. До завершения проверки практический путь вперед для пользователей, потерявших средства, остается неясным.
Заявления Чарльза Хоскинсона и обновления по восстановлению
Основатель Cardano Чарльз Хоскинсон публично признал инцидент, охарактеризовав его с заметной откровенностью. Хотя он отметил, что потери в долларовом выражении могут показаться относительно скромными по сравнению с крупнейшими криптоэксплойтами в истории, он прямо указал на человеческий фактор: некоторые пользователи могли потерять все свои запасы ADA. Хоскинсон описал такой исход как печальную реальность индустрии.
Это признание имеет вес. Оно демонстрирует осведомленность на самом высоком уровне организации Cardano, но при этом не подразумевает никаких обязательств по системной помощи. Бремя восстановления, по крайней мере на данный момент, ложится на продолжающийся процесс проверки со стороны SecondFi.
То, к каким выводам в итоге придет техническое расследование, повлияет на гораздо большее, чем только будущее SecondFi. Если проверка покажет, что подобные уязвимости в инфраструктуре кошельков широко распространены среди проектов на базе Cardano, то последствия для доверия к экосистеме могут выйти далеко за рамки одного эксплойта. Для держателей ADA и разработчиков, оценивающих свое участие в сети, этот ответ может оказаться важнее любой отдельной свечи на графике цены.
FAQ
Что стало причиной эксплойта SecondFi?
Уязвимость в собственном программном обеспечении SecondFi для генерации кошельков позволила злоумышленникам получить доступ к нескольким пользовательским кошелькам. Базовый блокчейн-протокол Cardano не был задействован во взломе.
Сколько ADA, по сообщениям, было утрачено в результате эксплойта?
Оценки потерь варьируются от 16 миллионов ADA до более 129 миллионов ADA, плюс дополнительные токены, не относящиеся к ADA. Основатель SlowMist Ю Сянь оценивает общий ущерб более чем в $20 миллионов с учетом всех затронутых активов.
Был ли затронут основной блокчейн-протокол Cardano в результате эксплойта?
Нет. Базовый протокол Cardano не был скомпрометирован. Взлом был ограничен собственным программным обеспечением кошельков SecondFi, что делает его сбоем на уровне приложения, а не уязвимостью на уровне сети.
Какие действия предпринимает SecondFi после взлома?
SecondFi работает с независимой фирмой по блокчейн-безопасности над технической проверкой, чтобы оценить, подлежат ли какие-либо средства восстановлению, и определить, какие изменения в инфраструктуре кошельков необходимы до возобновления работы. Планы по возмещению или восстановлению средств не объявлены.
{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»Что стало причиной эксплойта SecondFi?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Уязвимость в собственном программном обеспечении SecondFi для генерации кошельков позволила злоумышленникам получить доступ к нескольким пользовательским кошелькам. Базовый блокчейн-протокол Cardano не был задействован во взломе.»}},{«@type»:»Question»,»name»:»Сколько ADA, по сообщениям, было утрачено в результате эксплойта?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Оценки потерь варьируются от 16 миллионов ADA до более 129 миллионов ADA, плюс дополнительные токены, не относящиеся к ADA. Основатель SlowMist Ю Сянь оценивает общий ущерб более чем в $20 миллионов с учетом всех затронутых активов.»}},{«@type»:»Question»,»name»:»Был ли затронут основной блокчейн-протокол Cardano в результате эксплойта?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Нет. Базовый протокол Cardano не был скомпрометирован. Взлом был ограничен собственным программным обеспечением кошельков SecondFi, что делает его сбоем на уровне приложения, а не уязвимостью на уровне сети.»}},{«@type»:»Question»,»name»:»Какие действия предпринимает SecondFi после взлома?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»SecondFi работает с независимой фирмой по блокчейн-безопасности над технической проверкой, чтобы оценить, подлежат ли какие-либо средства восстановлению, и определить, какие изменения в инфраструктуре кошельков необходимы до возобновления работы. Планы по возмещению или восстановлению средств не объявлены.»}}]}
Статья подготовлена при содействии искусственного интеллекта и проверена редакционной командой.
