AI News CryptoTRADE THE NEWS
A USB device on a dark table with a safe in the
Tiền điện tử
Platforms
Cardano

SecondFi đổ lỗi cho lỗi ví web sau khi 374 địa chỉ Cardano…

Nền tảng ước tính khoảng 16 triệu ADA đã bị ảnh hưởng và cho biết các biện pháp khẩn cấp đã bảo vệ khoảng 129 triệu ADA cho người dùng đã được xác minh thông qua lưu ký của bên thứ ba.

Bởi AI News Crypto Editorial Team8 phút đọc

SecondFi cho biết một lỗ hổng ở cấp địa chỉ trong quy trình tạo khóa và ký giao dịch của ví web Cardano đã cho phép kẻ tấn công rút tiền từ 374 địa chỉ, với ước tính khoảng 16 triệu ADA bị ảnh hưởng. Nền tảng này cho biết đã bảo vệ được khoảng 129 triệu ADA thông qua các biện pháp khẩn cấp và đang chuyển số tiền đó cho một bên lưu ký độc lập chờ xác minh từ người dùng.

Điểm chính

  • Khoảng 16 triệuADA(khoảng 2,4 triệu USD) được ước tính bị ảnh hưởng trên 374 địa chỉ.
  • Các biện pháp khẩn cấp đã bảo vệ được khoảng 129 triệu ADA mà SecondFi cho biết sẽ được giữ bởi một bên lưu ký độc lập cho những người dùng bị ảnh hưởng đã được xác minh.
  • SecondFi liên kết vụ vi phạm với một lỗ hổng trong phần mềm tạo ví web Cardano của mình, mô tả một vấn đề ở cấp độ địa chỉ- ảnh hưởng đến người dùng trong quá trình ký giao dịch.
  • Giám đốc điều hành Immunefi, Mitchell Amador cho biết phần mềm ví đã phơi bàykhóa riêngnó đã được tạo ra, trong khi nhấn mạnh rằng blockchain Cardano vẫn an toàn.

Lỗ hổng SecondFi: 374 địa chỉ bị ảnh hưởng khi nền tảng ước tính khoảng 16 triệu ADA bị ảnh hưởng

SecondFi cho biết các kẻ tấn công đã rút tiền từ các địa chỉ người dùng sau khi khai thác một lỗ hổng liên quan đến phần mềm ví dựa trên Cardano của nó. Ước tính của nền tảng, được cung cấp vào thứ Ba liên quan đến công bố ngày 24 tháng 6, cho biết tác động khoảng 16 triệu ADA, tương đương khoảng 2,4 triệu đô la, trên 374 địa chỉ.

Hai điều quan trọng cho việc diễn giải thị trường. Thứ nhất, quy mô được thể hiện ở cấp độ địa chỉ, không phải là một sự kiện toàn chuỗi. Thứ hai, con số này rõ ràng là một ước tính, điều này để lại không gian cho việc điều chỉnh khi các nhà điều tra đối chiếu dòng chảy trên chuỗi với báo cáo của người dùng và nhật ký nội bộ.

SecondFi mô tả mình là tự-quản lý, có nghĩa là người dùng kiểm soát khóa riêng và cụm từ khôi phục của riêng họ thay vì dựa vào một sàn giao dịch để giữ tiền. Lựa chọn thiết kế đó là một con dao hai lưỡi trong các sự cố như thế này. Nó giảm thiểu sự lây lan trên bảng cân đối kế toán của nền tảng, nhưng cũng tập trung rủi ro trong quá trình tạo khóa và ký. Khi con đường đó bị hỏng, chế độ thất bại là mất mát trực tiếp từ các địa chỉ do người dùng kiểm soát.

Kế hoạch giữ hộ khẩn cấp: ~129 triệu ADA được bảo đảm và chuyển đến một bên thứ ba

SecondFi cho biết họ đã kích hoạt các biện pháp khẩn cấp bảo đảm khoảng 129 triệu ADA và rằng các quỹ này đang được chuyển đến một bên giữ hộ độc lập. Ý định được nêu là để giữ tài sản cho người dùng bị ảnh hưởng đang chờ xác minh.

Đây là một sự chuyển hướng đáng chú ý trong việc xử lý sự cố. Nó ít giống như phân loại tạm thời và nhiều hơn như một quy trình yêu cầu có kiểm soát. Trong các thuật ngữ bàn làm việc, điều đó có thể làm giảm phản ứng bán áp lực ngay lập tức từ những người dùng vẫn có quỹ đang gặp rủi ro, vì phản ứng này rõ ràng là về việc bảo vệ tài sản và kiểm soát quyền truy cập thông qua xác minh.

Nhưng nó cũng giới thiệu một vector không chắc chắn mới. Người giữ tài sản không được nêu tên, và các quy tắc xác minh cũng như thời gian chưa được công khai. Điều đó quan trọng vì "người giữ tài sản bên thứ ba độc lập" là một nhãn hiệu rộng.

Đối với các nhà giao dịch đang theo dõi tâm lý ADA, câu hỏi chính là liệu quy trình này có đủ nhanh chóng và minh bạch để ngăn chặn việc phát sinh các tiêu đề mới, sự nhầm lẫn của người dùng và các tổn thất thứ cấp hay không.

Điểm cấu trúc khác là rủi ro lưu ký. Chuyển tài sản đến một người giữ tài sản có thể giảm khả năng xảy ra các rò rỉ trên chuỗi từ các ví bị xâm phạm, nhưng nó thay thế rủi ro khai thác kỹ thuật bằng rủi ro đối tác và quy trình cho đến khi danh tính, kiểm soát và tiêu chí yêu cầu của người giữ tài sản được làm rõ.

Nguyên nhân gốc rễ cho đến nay: Vấn đề cấp địa chỉ trong việc tạo ví web và ký giao dịch

SecondFi cho biết họ đã xác định được nguyên nhân gốc rễ của vụ khai thác và đang hợp tác với các nền tảng trong hệ sinh thái Cardano và các nhà điều tra blockchain. Công ty cho rằng vụ vi phạm này là do một lỗ hổng trong phần mềm tạo ví web Cardano của họ, truy tìm nguyên nhân gốc rễ đến một "vấn đề cấp địa chỉ" ảnh hưởng đến người dùng khi họ ký giao dịch.

Cách diễn đạt đó đang làm rất nhiều việc. "Cấp địa chỉ" trong ngữ cảnh này chỉ ra một lỗi liên quan đến cách mà các địa chỉ ví và khóa được tạo ra hoặc sử dụng trong quá trình ký. SecondFi chưa công bố một báo cáo toàn diện về vụ việc tính đến thời điểm xuất bản, vì vậy thị trường đang hoạt động với một chẩn đoán định hướng thay vì một câu chuyện kỹ thuật đầy đủ.

Mitchell Amador, Giám đốc điều hành của công ty bảo mật Immunefi, đã nói thẳng thừng hơn: "Phần mềm ví của SecondFi đã tiết lộ các khóa riêng mà nó tạo ra," và ông đã thêm rằng trong khi blockchain vẫn an toàn, mã tạo khóa là "phần mà không ai kiểm toánnhư một hợp đồng.” Ông cũng cho biết các kẻ tấn công ngày càng chuyển sự chú ý sang cơ sở hạ tầng tạo ra hoặc lưu trữ khóa tiền điện tử thay vì các giao thức blockchain.

Điều nổi bật ở đây là sự phù hợp giữa cách diễn đạt của nền tảng và một tiếng nói an ninh bên ngoài. Cả hai đều chỉ ra rằng không có sự xâm phạm giao thức Cardano và hướng tới sự thất bại trong quản lý khóa trong cơ sở hạ tầng ví. Sự phân biệt đó không phải là lý thuyết. Những thất bại ở cấp độ chuỗi có xu hướng định giá lại rủi ro hệ thống trong một hệ sinh thái.

Những thất bại ở cấp độ ví có xu hướng định giá lại lòng tin vào các ngăn xếp phần mềm cụ thể, và chúng vẫn có thể ảnh hưởng đến cảm xúc rộng lớn hơn khi thương hiệu và mối quan hệ hệ sinh thái không rõ ràng.

Việc khôi phục người dùng đang bị tranh cãi: ‘Đừng khôi phục cụm từ hạt giống’ so với các cuộc gọi di cư của cộng đồng

Hướng dẫn người dùng của SecondFi thì cực kỳ nghiêm ngặt. Nền tảng đã cảnh báo: “Khôi phục sang nền tảng hoặc ví khác không giảm thiểu rủi ro,” và khuyên người dùng không nên khôi phục cụm từ khôi phục của họ vào các ví Cardano mới.

Một cụm từ khôi phục, hay cụm từ hạt giống, là tập hợp các từ có thể tái tạo các khóa riêng tư của một ví và khôi phục quyền truy cập vào quỹ. Nếu con đường khai thác liên quan đến việc lộ khóa riêng tư, thì việc khôi phục cùng một hạt giống vào một giao diện ví mới không thay đổi bí mật cơ bản. Nó có thể tái tạo cùng một khóa bị xâm phạm.

Cùng lúc đó, một số thành viên trong cộng đồng đã kêu gọi người dùng di cư các ví bị ảnh hưởng và chuyển quỹ sang các địa chỉ mới được tạo. Xung đột đó là rủi ro tiêu đề trong ngắn hạn. Khi lời khuyên khắc phục khác nhau, xác suất tổn thất thứ cấp tăng lên, đặc biệt đối với những người dùng hành động nhanh chóng mà không có một con đường an toàn rõ ràng, có cơ sở kỹ thuật.

Cũng có một lớp định vị hệ sinh thái. SecondFi được mô tả là một nền tảng tự quản lý được xây dựng trên Cardano, đã đổi thương hiệu từ ví Yoroi vào tháng 4 năm 2026. Yoroi được phát triển bởi Emurgo, đơn vị tự mô tả mình là “nhánh kiếm lợi nhuận của Cardano,” và đã ra mắt như là ví nhẹ mã nguồn mở đầu tiên cho Cardano.

Người sáng lập Cardano, Charles Hoskinson, đã công khai tách Input Output Global (IOG) ra khỏi sự cố, nói rằng SecondFi không phải là sản phẩm của IOG và rằng không có “quyền sở hữu, kiểm soát, hoặc mối quan hệ kinh doanh” giữa ví và IOG.

Trong một video vào thứ Ba được đăng trên X, ông nhấn mạnh IOG “không phải là Emurgo,” và nói, “Chúng tôi không viết mã và chúng tôi không liên kết với nó.” Ông cũng cho biết đội phản ứng sự cố của IOG đã liên lạc với SecondFi từ thứ Hai và rằng SecondFi đã yêu cầu một cuộc kiểm toán an ninh độc lập.

Con đường phía trước rõ ràng ngay cả khi chi tiết không rõ ràng. Các nhà giao dịch nên theo dõi xem SecondFi có điều chỉnh ước tính khoảng 16 triệu ADA và số lượng địa chỉ 374 sau khi xác minh và xem xét của điều tra viên, ai là người quản lý độc lập và cách thức xử lý các yêu cầu cho khoảng 129 triệu ADA đã được bảo đảm, và liệu một cuộc điều tra toàn diện có làm rõ cơ chế "vấn đề cấp địa chỉ" và hành động của người dùng nào là an toàn chắc chắn hay không. Bất kỳ hướng dẫn chính thức nào cập nhật về cụm từ khôi phục so với di chuyển, đặc biệt nếu các nền tảng khác trong hệ sinh thái Cardano phản ánh hoặc mâu thuẫn với hướng dẫn của SecondFi, sẽ có khả năng xác định tốc độ mà câu chuyện này phai nhạt.

Tại sao điều này được coi là rủi ro quản lý khóa, không phải là sự cố giao thức Cardano

Tôi coi đây là một sự cố quản lý khóa cho đến khi có bằng chứng ngược lại, và bằng chứng hiện có hỗ trợ cách nhìn nhận đó. Chính SecondFi đã quy trách nhiệm cho phần mềm tạo ví web của mình và một vấn đề cấp địa chỉ trong quá trình ký. Mô tả của Amador thậm chí còn trực tiếp hơn, nói rằng phần mềm ví đã lộ khóa riêng mà nó tạo ra, trong khi cũng khẳng định rằng blockchain vẫn an toàn.

Điều đó quan trọng vì các nhà giao dịch định giá các loại rủi ro khác nhau một cách khác nhau. Một sự cố giao thức là hệ thống. Nó có xu hướng ảnh hưởng đến tính thanh khoản trên các tài sản và ứng dụng của chuỗi vì nó đặt câu hỏi về giả định về tính cuối cùng và an toàn. Một sự cố ví thì hẹp hơn, nhưng nó vẫn có thể gây ra tác động lớn nếu nó kích hoạt sự rút lui của người dùng, sự rò rỉ danh tiếng, hoặc một sự không chắc chắn kéo dài.

Hiệu ứng bậc hai mà tôi đang theo dõi là rủi ro quy trình xung quanh khoảng 129 triệu ADA đã được bảo đảm. Việc SecondFi chuyển tiền đến một người quản lý độc lập cho thấy phản ứng đang chuyển từ "dừng chảy máu" sang "xét xử các yêu cầu." Điều đó có thể giảm bớt việc bán tháo ngay lập tức của những người dùng bị ảnh hưởng nếu họ tin rằng tiền đang được bảo vệ.

Nhưng nó cũng tạo ra một sự phụ thuộc mới: danh tính của người quản lý, các quy tắc xác minh, và thời gian. Cho đến khi những điều đó được làm rõ, thị trường phải giảm giá cho sự ma sát hoạt động và các tranh chấp tiềm năng.

Kịch bản một là kiểm soát sạch sẽ. Người quản lý được xác định, quy trình xác minh được công bố, và ước tính bị ảnh hưởng vẫn gần 16 triệu ADA với phạm vi hạn chế ngoài 374 địa chỉ. Các điểm xác nhận là rõ ràng: một người quản lý được nêu tên, một quy trình yêu cầu rõ ràng, và một cuộc điều tra sau đó liên kết vấn đề cấp địa chỉ với các hành động không an toàn cụ thể.

Kịch bản hai là mở rộng phạm vi mà không có tác động đến giao thức. Ước tính tăng lên sau khi các điều tra viên đối chiếu thêm các địa chỉ hoặc dòng bị ảnh hưởng, nhưng nguyên nhân gốc vẫn là việc lộ khóa ở phía ví. Điều đó sẽ giữ cho câu chuyện "Cardano là an toàn" vẫn nguyên vẹn trong khi kéo dài thời gian tiêu đề và tăng xác suất giảm rủi ro do người dùng từ các ngăn xếp ví tương tự.

Kịch bản ba là sự nhầm lẫn trong việc khắc phục dẫn đến tổn thất thứ cấp. Nếu hướng dẫn chính thức vẫn bị tranh cãi và người dùng tiếp tục khôi phục cụm từ hoặc di chuyển không đúng cách, sự cố có thể tạo ra các dòng chảy tiếp theo trông giống như các cuộc tấn công mới ngay cả khi chúng chỉ là hậu quả bị trì hoãn của cùng một sự lộ khóa.

Điểm vô hiệu hóa cho luận thuyết "sự cố quản lý khóa đã được kiểm soát" sẽ là bằng chứng cho thấy chính giao thức Cardano đã bị xâm phạm, điều này không được hỗ trợ bởi các sự kiện được cung cấp ở đây.

Đánh giá cơ bản của tôi là mức phí rủi ro cấp chuỗi của ADA không nên được định giá lại chỉ dựa vào điều này, nhưng lòng tin vào ví và cơ sở hạ tầng vẫn có thể ảnh hưởng đến tâm lý. Luận thuyết được xác nhận nếu cuộc điều tra sau đó và quy trình của người quản lý đều củng cố rằng sự cố là do lộ khóa riêng trong phần mềm ví, không phải là sự cố giao thức Cardano.

Nguồn