SecondFi به نقص کلید کیف پول وب پس از حمله به ۳۷۴ آدرس…
این پلتفرم تخمین میزند که حدود ۱۶ میلیون ADA تحت تأثیر قرار گرفته و میگوید اقدامات اضطراری حدود ۱۲۹ میلیون ADA را برای کاربران تأیید شده از طریق نگهداری شخص ثالث تأمین کرده است.
SecondFi میگوید که یک نقص در سطح آدرس در جریان تولید کلید و امضای تراکنش کیف پول وب کاردانو آن به مهاجمان اجازه داد تا از ۳۷۴ آدرس، وجوه را تخلیه کنند که برآورد میشود حدود ۱۶ میلیون ADA تحت تأثیر قرار گرفته است. این پلتفرم میگوید که حدود ۱۲۹ میلیون ADA را از طریق اقدامات اضطراری تأمین کرده و در حال انتقال این وجوه به یک نگهدارنده مستقل شخص ثالث است تا تأیید کاربران انجام شود.
نکات کلیدی
- حدود ۱۶ میلیونADA(حدود ۲.۴ میلیون دلار) برآورد میشود که در ۳۷۴ آدرس تحت تأثیر قرار گرفته است.
- اقدامات اضطراری حدود ۱۲۹ میلیون ADA را تأمین کرده که SecondFi میگوید برای کاربران تأثیرپذیر تأیید شده توسط یک نگهدارنده مستقل شخص ثالث نگهداری خواهد شد.
- SecondFi این نقض را به یک آسیبپذیری در نرمافزار تولید کیف پول وب کاردانو خود مرتبط دانست و یک مشکل در سطحآدرسرا توصیف کرد که بر کاربران در حین امضای تراکنش تأثیر میگذارد.
- مدیر عامل Immunefi، میچل آمادور، گفت که نرمافزار کیف پول این آسیبپذیری را نمایان کرده است.کلیدهای خصوصیاین تولید شده است، در حالی که بر امنیت خود بلاکچین کاردانو تأکید میکند.
سوءاستفاده از SecondFi: 374 آدرس تحت تأثیر قرار گرفتند در حالی که پلتفرم تخمین میزند ~16 میلیون ADA تحت تأثیر قرار گرفته است
SecondFi میگوید که مهاجمان وجوه را از آدرسهای کاربران تخلیه کردند پس از سوءاستفاده از یک آسیبپذیری مرتبط با نرمافزار کیف پول مبتنی بر کاردانو. تخمین پلتفرم، که روز سهشنبه نسبت به انتشار 24 ژوئن ارائه شده، تأثیر را حدود 16 میلیون ADA، یا حدود 2.4 میلیون دلار، در 374 آدرس قرار داده است.
دو چیز برای تفسیر بازار مهم است. اول، دامنه در سطح آدرس بیان میشود، نه به عنوان یک رویداد سراسری. دوم، این عدد بهطور صریح یک تخمین است، که فضایی برای تجدید نظر باقی میگذارد وقتی که محققان جریانهای زنجیرهای را با گزارشهای کاربران و لاگهای داخلی تطبیق میدهند.
SecondFi خود را به عنوان خود-نگهدارندهتوصیف میکند، به این معنی که کاربران کنترل کلیدهای خصوصی و عبارت بازیابی خود را دارند و به یک صرافی برای نگهداری وجوه تکیه نمیکنند. این انتخاب طراحی در حوادثی مانند این یک شمشیر دو لبه است. این باعث کاهش سرایت ترازنامه پلتفرم میشود، اما همچنین ریسک را در مسیر تولید و امضای کلید متمرکز میکند. وقتی که آن مسیر شکسته میشود، حالت شکست از آدرسهای تحت کنترل کاربر به طور مستقیم از دست میرود.
طرح نگهداری اضطراری: ~129 میلیون ADA تأمین و به یک نگهدارنده شخص ثالث منتقل شد
SecondFi میگوید که اقدامات اضطراری را فعال کرده است که تقریباً 129 میلیون ADA را تأمین کرده و این وجوه به یک نگهدارنده مستقل شخص ثالث منتقل میشود. هدف اعلام شده این است که نگهدارندداراییهابرای کاربران تحت تأثیر در انتظار تأیید.
این یک تغییر قابل توجه در مدیریت حوادث است. این بیشتر شبیه یک فرآیند ادعای کنترل شده است تا تریاژ تصادفی. به زبان ساده، این میتواند فشار فروش فوری را از کاربرانی که هنوز داراییهایشان در خطر است، کاهش دهد، زیرا پاسخ به وضوح درباره تأمین داراییها و محدود کردن دسترسی از طریق تأیید است.
اما همچنین یک مؤلفه عدم قطعیت جدید را معرفی میکند. نام نگهدارنده مشخص نیست و قوانین و زمانبندی تأیید هنوز عمومی نشده است. این مهم است زیرا "نگهدارنده مستقل شخص ثالث" یک برچسب وسیع است. برای تریدرهایی که احساسات ADA را زیر نظر دارند، سؤال کلیدی این است که آیا این فرآیند به اندازه کافی سریع و شفاف است تا از ایجاد عناوین جدید، سردرگمی کاربران و خسارات ثانویه جلوگیری کند.
نقطه ساختاری دیگر ریسک نگهداری است. انتقال داراییها به یک نگهدارنده میتواند احتمال تخلیههای بیشتر زنجیرهای از کیف پولهای آسیبدیده را کاهش دهد، اما ریسک بهرهبرداری فنی را با ریسک طرف مقابل و فرآیند جایگزین میکند تا زمانی که هویت نگهدارنده، کنترلها و معیارهای ادعا روشن شود.
علت اصلی تا کنون: مشکل سطح آدرس در تولید کیف پول وب و امضای تراکنش
SecondFi میگوید که علت اصلی بهرهبرداری را شناسایی کرده و در حال تعامل با پلتفرمهای اکوسیستم کاردانو و محققان بلاکچین است. این شرکت نقص را به یک آسیبپذیری در نرمافزار تولید کیف پول وب کاردانو نسبت میدهد و علت اصلی را به یک "مشکل سطح آدرس" که بر کاربران هنگام امضای تراکنشها تأثیر میگذارد، ردیابی میکند.
این عبارت کار زیادی انجام میدهد. "سطح آدرس" در این زمینه به نقصی اشاره دارد که به نحوه تولید یا استفاده از آدرسهای کیف پول و کلیدها در حین امضا مرتبط است. SecondFi تا زمان انتشار، یک گزارش جامع پس از حادثه منتشر نکرده است، بنابراین بازار با یک تشخیص جهتدار به جای یک روایت فنی کامل عمل میکند.
میتچل آمادور، مدیرعامل شرکت امنیتی Immunefi، این موضوع را به طور صریحتر بیان کرد: "نرمافزار کیف پول SecondFi کلیدهای خصوصی را که تولید کرده است، افشا کرد" و او اضافه کرد که در حالی که بلاکچین ایمن باقی ماند، کد تولید کلید "بخشی است که هیچکسحسابرسی میکند.مانند یک قرارداد.” او همچنین گفت که حملهکنندگان به طور فزایندهای تمرکز خود را به سمت زیرساختهایی که کلیدهای رمزنگاری را ایجاد یا ذخیره میکنند، به جای پروتکلهای بلاکچین تغییر دادهاند.
آنچه در اینجا برجسته است، همراستایی بین چارچوب پلتفرم و یک صدای امنیتی خارجی است. هر دو به سمت آسیبپذیری پروتکل کاردانو و به سمت شکست مدیریت کلید در زیرساخت کیف پول اشاره میکنند. این تمایز صرفاً نظری نیست. شکستهای سطح زنجیره معمولاً ریسک سیستماتیک را در یک اکوسیستم دوباره قیمتگذاری میکنند.
شکستهای سطح کیف پول معمولاً اعتماد به پشتههای نرمافزاری خاص را دوباره قیمتگذاری میکنند و هنوز هم میتوانند به احساسات گستردهتر سرایت کنند زمانی که برند و روابط اکوسیستم نامشخص هستند.
تعمیرات کاربر مورد مناقشه است: ‘عبارات بازیابی را بازنشانی نکنید’ در مقابل فراخوانهای مهاجرت جامعه
راهنمایی کاربری SecondFi به طور غیرمعمولی سختگیرانه است. این پلتفرم هشدار داد: “بازیابی به یک پلتفرم یا کیف پول دیگر ریسک را کاهش نمیدهد” و به کاربران توصیه کرد که عبارات بازیابی خود را به کیف پولهای جدید کاردانو بازنشانی نکنند.
عبارت بازیابی، یا عبارت دانه مجموعهای از کلمات است که میتواند کلیدهای خصوصی یک کیف پول را دوباره ایجاد کرده و دسترسی به وجوه را بازیابی کند. اگر مسیر بهرهبرداری شامل افشای کلید خصوصی باشد، آنگاه بازنشانی همان دانه به یک رابط کیف پول جدید، راز زیرین را تغییر نمیدهد. این میتواند همان کلیدهای آسیبدیده را دوباره ایجاد کند.
در عین حال، برخی از اعضای جامعه از کاربران خواستند که کیف پولهای آسیبدیده را مهاجرت دهند و وجوه را به آدرسهای جدید منتقل کنند. این تعارض ریسک سرخطی در کوتاهمدت است. زمانی که مشاوره تعمیرات متفاوت باشد، احتمال خسارات ثانویه افزایش مییابد، به ویژه برای کاربرانی که به سرعت بدون یک مسیر ایمن و مبتنی بر تکنیک عمل میکنند.
همچنین یک لایه موقعیتیابی اکوسیستم وجود دارد. SecondFi به عنوان یک پلتفرم خودنگهدار بر روی کاردانو توصیف میشود که در آوریل 2026 از کیف پول یوروی بازbranding شده است. یورو توسط Emurgo توسعه یافته است، که خود را به عنوان “شاخه سودآور کاردانو” توصیف میکند و به عنوان اولین کیف پول سبک منبع باز برای کاردانو راهاندازی شد.
بنیانگذار کاردانو، چارلز هاسکینسون، به طور عمومی Input Output Global (IOG) را از این حادثه دور کرد و گفت که SecondFi یک محصول IOG نیست و هیچ “مالکیت، کنترل یا رابطه تجاری” بین کیف پول و IOG وجود ندارد.
در یک ویدیوی سهشنبه که در X منتشر شد، او تأکید کرد که IOG “Emurgo نیست” و گفت: “ما کد را ننوشتهایم و به آن متصل نیستیم.” او همچنین گفت که تیم پاسخ به حادثه IOG از دوشنبه با SecondFi در تماس بوده و SecondFi درخواست یک حسابرسی امنیتی مستقل کرده است.
مسیر پیش رو واضح است حتی اگر جزئیات مشخص نباشند. معاملهگران باید مراقب باشند که آیا SecondFi برآورد ~16 میلیون ADA و تعداد 374 آدرس را پس از تأیید و بررسی محققین اصلاح میکند، نگهبان مستقل کیست و چگونه ادعاها برای ~129 میلیون ADA تأمینشده پردازش خواهد شد، و آیا یک بررسی جامع پس از وقوع، مکانیکهای "مسئله سطح آدرس" و اقداماتی که برای کاربران بهطور قطعی ایمن هستند را روشن میکند.
هرگونه راهنمایی رسمی بهروز در مورد عبارات بازیابی در مقابل مهاجرت، بهویژه اگر سایر پلتفرمهای اکوسیستم کاردانو با دستورالعملهای SecondFi همصدا یا متناقض باشند، احتمالاً تعیین خواهد کرد که این داستان چقدر سریع از بین میرود.
چرا این بهعنوان ریسک مدیریت کلید خوانده میشود، نه شکست پروتکل کاردانو
من این را بهعنوان یک حادثه مدیریت کلید تلقی میکنم تا زمانی که خلاف آن ثابت شود و شواهد موجود از این چارچوب حمایت میکند. نسبت SecondFi به نرمافزار تولید کیف پول وب خود و یک مسئله سطح آدرس در حین امضا است. توصیف آما دور حتی مستقیمتر است و میگوید نرمافزار کیف پول کلیدهای خصوصی تولید شده را افشا کرده است، در حالی که همچنین بیان میکند که بلاکچین همچنان ایمن باقی مانده است.
این مهم است زیرا معاملهگران انواع مختلف ریسک را بهطور متفاوتی قیمتگذاری میکنند. شکست پروتکل سیستمی است. این تمایل دارد که نقدینگی را در داراییها و برنامههای زنجیره تحت تأثیر قرار دهد زیرا فرضیات نهایی و ایمنی را زیر سوال میبرد. شکست کیف پول محدودتر است، اما هنوز میتواند تأثیر بیشتری داشته باشد اگر باعث فرار کاربران، سرریز شهرت یا یک قطره طولانی عدم قطعیت شود.
اثر مرتبه دوم که من در حال مشاهده آن هستم، ریسک فرآیند در اطراف ~129 میلیون ADA تأمینشده است. انتقال وجوه SecondFi به یک نگهبان مستقل نشان میدهد که پاسخ در حال انتقال از "متوقف کردن خونریزی" به "داوری ادعاها" است. این میتواند فروش اجباری فوری توسط کاربران تحت تأثیر را کاهش دهد اگر آنها باور داشته باشند که وجوه در حال حفاظت هستند. اما همچنین وابستگی جدیدی ایجاد میکند: هویت نگهبان، قوانین تأیید و زمانبندی. تا زمانی که این موارد صریح نباشند، بازار باید برای اصطکاک عملیاتی و اختلافات بالقوه تخفیف دهد.
سناریوی اول، containment تمیز است. نگهبان شناسایی میشود، فرآیند تأیید منتشر میشود و برآورد تحت تأثیر در حدود ~16 میلیون ADA با دامنه محدود فراتر از 374 آدرس باقی میماند. نقاط تأیید ساده هستند: یک نگهبان نامبرده، یک جریان کار واضح برای ادعاها و یک بررسی پس از وقوع که مسئله سطح آدرس را به اقدامات خاص ناایمن متصل میکند.
سناریوی دوم، گسترش دامنه بدون پیامدهای پروتکلی است. برآورد پس از اینکه محققان آدرسها یا جریانهای اضافی تحت تأثیر را تطبیق میدهند افزایش مییابد، اما علت اصلی همچنان افشای کلید در سمت کیف پول باقی میماند. این باعث میشود روایت "کاردانو ایمن است" دست نخورده باقی بماند در حالی که مدت زمان عنوان را گسترش میدهد و احتمال کاهش ریسک توسط کاربران از مجموعههای مشابه کیف پول را افزایش میدهد.
سناریوی سوم، سردرگمی ترمیمی است که به خسارت ثانویه تبدیل میشود. اگر راهنمایی رسمی همچنان مورد مناقشه باشد و کاربران به بازیابی عبارات یا مهاجرت نادرست ادامه دهند، این حادثه میتواند تخلیههای دنبالهداری ایجاد کند که شبیه حملات جدید به نظر میرسند حتی اگر فقط پیامدهای تأخیری همان افشای کلید باشند.
نقطه باطلسازی برای فرضیه "شکست مدیریت کلید محدود" شواهدی خواهد بود که خود پروتکل کاردانو به خطر افتاده است، که با حقایق ارائه شده در اینجا پشتیبانی نمیشود.
خوانش پایه من این است که حق بیمه ریسک سطح زنجیره ADA نباید فقط بر اساس این موضوع دوباره قیمتگذاری شود، اما اعتماد به کیف پول و زیرساخت هنوز میتواند احساسات را جابجا کند. فرضیه تأیید میشود اگر بررسی پس از وقوع و فرآیند نگهبان هر دو تأیید کنند که شکست ناشی از افشای کلید خصوصی در نرمافزار کیف پول بوده است، نه شکست پروتکل کاردانو.
