AI News CryptoTRADE THE NEWS
A USB device on a dark table with a safe in the
加密货币
Platforms
Cardano

SecondFi指责网络钱包漏洞,374个Cardano地址受损

该平台估计约有1600万ADA受到影响,并表示紧急措施通过第三方托管为经过验证的用户保障了约1.29亿ADA。

作者:AI News Crypto Editorial Team阅读 8 分钟

SecondFi表示,其Cardano网络钱包的地址级缺陷在密钥生成和交易签名流程中,使攻击者能够从374个地址中提取资金,估计受影响的ADA约为1600万。该平台表示,通过紧急措施已安全保管约1.29亿ADA,并正在将这些资金转移至独立的第三方保管机构,待用户验证。

关键要点

  • 大约1600万ADA约240万美元预计受到影响,涉及374个地址。
  • 紧急措施确保了大约1.29亿ADA,SecondFi表示这些资金将由独立的第三方保管人持有,以供经过验证的受影响用户使用。
  • SecondFi 将此次泄露归因于其 Cardano 网络钱包生成软件中的一个漏洞,描述了一种地址影响用户在交易签名时的级别问题。
  • Immunefi首席执行官Mitchell Amador表示,钱包软件暴露了私钥它生成的,同时强调Cardano区块链本身保持安全。

SecondFi漏洞:374个地址受到影响,平台估计约有1600万ADA受影响

SecondFi表示,攻击者在利用与其基于Cardano的钱包软件相关的漏洞后,从用户地址中提取了资金。该平台在周二提供的估计,基于6月24日的发布,影响约为1600万ADA,或约240万美元,涉及374个地址。

市场解读有两个重要因素。首先,范围是在地址级别表达的,而不是作为链上事件。其次,数字显然是一个估计,这为调查人员在将链上流动与用户报告和内部日志对账后进行修正留出了空间。

SecondFi自我描述为自我-保管这意味着用户控制自己的私钥和恢复短语,而不是依赖交易所来保管资金。这种设计选择在此类事件中是一把双刃剑。它减少了平台资产负债表的传染性,但也集中在密钥生成和签名路径上的风险。当该路径出现问题时,失败模式是直接从用户控制的地址中损失。

紧急保管计划:约1.29亿ADA被保全并转移到第三方持有者

SecondFi表示,它启动了紧急措施,保全了大约1.29亿ADA,并且这些资金正在转移到一个独立的第三方保管人。声明的意图是持有资产对于待验证的受影响用户。

这是在事件处理中的一个显著转变。它听起来不像是临时的分类处理,而更像是一个受控的索赔流程。在桌面术语中,这可以减轻仍有资金处于风险中的用户的即时卖压反应,因为响应明确是关于保护资产并通过验证限制访问。

但这也引入了一个新的不确定性因素。保管人未被命名,验证规则和时间表尚未公开。这一点很重要,因为“独立第三方保管人”是一个广泛的标签。对于关注ADA情绪的交易者来说,关键问题是这个过程是否足够快速和透明,以防止新头条、用户困惑和二次损失的持续出现。

另一个结构性问题是托管风险。将资产转移到托管人可以减少因钱包被攻破而导致的进一步链上资金流失的可能性,但这会将技术漏洞风险替换为对手方和流程风险,直到托管人的身份、控制和索赔标准得到明确。

到目前为止的根本原因:Web 钱包生成和交易签名中的地址级问题

SecondFi表示,它已确定此次漏洞的根本原因,并正在与Cardano生态系统平台和区块链调查人员进行沟通。该公司将此次泄露归因于其Cardano网络钱包生成软件中的一个漏洞,并追溯到一个“地址级问题”,该问题在用户签署交易时会影响他们。

这种表述承载了很多含义。在这个上下文中,“地址级别”指的是与钱包地址和密钥在签名过程中生成或使用的方式相关的缺陷。截至目前,SecondFi尚未发布全面的事后分析,因此市场的运作基于一个方向性的诊断,而不是完整的技术叙述。

安全公司Immunefi的首席执行官Mitchell Amador更直白地表示:“SecondFi的钱包软件暴露了它生成的私钥。”他补充说,尽管区块链保持安全,但密钥生成代码是“没有人注意到的部分”。审计像合同一样。”他还表示,攻击者越来越多地将注意力转向创建或存储加密密钥的基础设施,而不是区块链协议。

这里突出的特点是平台的框架与外部安全声音之间的一致性。两者都指向卡尔达诺协议的妥协,而不是钱包基础设施中的密钥管理失败。这个区别并非学术性的。链级故障往往会重新定价整个生态系统的系统性风险。钱包级故障则倾向于重新定价对特定软件堆栈的信任,当品牌和生态系统关系不明确时,它们仍然可能影响更广泛的情绪。

用户补救措施存在争议:‘不要恢复种子短语’与社区迁移呼吁

SecondFi的用户指导异常严格。该平台警告:“恢复到另一个平台或钱包并不能降低风险”,并建议用户不要将恢复短语恢复到新的卡尔达诺钱包中。

恢复短语,或称为种子短语是一组可以重建钱包私钥并恢复资金访问权限的单词。如果漏洞路径涉及私钥暴露,那么将相同的种子恢复到新的钱包界面并不会改变基础的秘密。它可以重建相同的受损密钥。

与此同时,一些社区成员敦促用户迁移受影响的钱包并将资金转移到新创建的地址。这种冲突是短期内的头条风险。当补救建议出现分歧时,尤其是对于那些在没有明确、技术上可靠的安全路径下迅速行动的用户,二次损失的概率上升。

还有一个生态系统定位层。SecondFi被描述为一个建立在卡尔达诺上的自我保管平台,2026年4月从Yoroi钱包重新品牌。Yoroi由Emurgo开发,Emurgo自称是“卡尔达诺的营利性部门”,并作为卡尔达诺的第一个开源轻钱包推出。

卡尔达诺创始人查尔斯·霍斯金森公开与Input Output Global (IOG)事件保持距离,表示SecondFi不是IOG的产品,并且钱包与IOG之间“没有所有权、控制或商业关系”。在周二发布的一段视频中,他强调IOG“不是Emurgo”,并表示:“我们没有编写代码,也与其没有关联。”他还表示,IOG的事件响应团队自周一以来一直与SecondFi保持联系,并且SecondFi请求进行独立安全审计。

即使细节尚不明确,前进的道路依然清晰。交易者应关注SecondFi是否在验证和调查审查后修订约1600万ADA的估算和374个地址的数量,独立保管人是谁,以及如何处理约1.29亿ADA的索赔,并且是否有全面的事后分析来澄清“地址级问题”的机制,以及哪些用户行为是绝对安全的。任何关于恢复短语与迁移的更新官方指导,尤其是如果其他Cardano生态系统平台与SecondFi的指示相呼应或相矛盾,将可能决定这一事件的衰退速度。

为什么这被视为密钥管理风险,而不是Cardano协议失败

在证明其他情况之前,我将其视为一次密钥管理事件,而手头的证据支持这种框架。SecondFi自己的归因是其网络钱包生成软件和签名过程中的地址级问题。Amador的描述更加直接,称钱包软件暴露了其生成的私钥,同时表示区块链仍然是安全的。

这很重要,因为交易者对不同类型的风险定价不同。协议失败是系统性的。它往往会影响链上资产和应用的流动性,因为它质疑最终性和安全假设。钱包失败则更为狭窄,但如果它引发用户逃离、声誉溢出或持续的不确定性,它仍然可能产生超出其权重的影响。

我关注的二阶效应是围绕约1.29亿ADA的过程风险。SecondFi将资金转移到独立保管人表明,响应正在从“止损”转变为“裁定索赔”。如果受影响的用户相信资金得到了保护,这可以减少他们的强制卖出。但这也创造了一个新的依赖关系:保管人的身份、验证规则和时间表。在这些明确之前,市场必须对操作摩擦和潜在争议进行折扣。

场景一是干净的控制。保管人被确认,验证过程被公布,受影响的估算保持在约1600万ADA,且超出374个地址的范围有限。确认点很简单:一个命名的保管人,一个清晰的索赔工作流程,以及一个将地址级问题映射到具体不安全行为的事后分析。

场景二是没有协议影响的范围扩展。估算在调查人员调和额外受影响地址或流量后上升,但根本原因仍然是钱包侧的密钥暴露。这将保持“Cardano是安全的”叙述不变,同时延长头条持续时间,并增加用户驱动的去风险化的可能性,尤其是来自类似钱包堆栈的去风险化。

场景三是补救混乱转变为二次损失。如果官方指导仍然存在争议,用户继续恢复短语或错误迁移,该事件可能会产生后续的资金流失,看起来像是新的攻击,即使它们只是同一密钥暴露的延迟后果。“受控密钥管理失败”理论的无效化点将是证据表明Cardano协议本身被破坏,而这并不符合这里提供的事实。

我的基本看法是,ADA的链级风险溢价不应仅因这一事件而重新定价,但钱包和基础设施的信任仍然可以影响情绪。如果事后分析和保管过程都确认失败是钱包软件中的私钥暴露,而不是Cardano协议的崩溃,那么这一论点就得到了确认。

来源