SecondFi正式开启受攻击用户赔偿通道
Cardano生态钱包服务提供商SecondFi(原Yoroi Wallet)现已启动对在6月21日至6月23日期间遭遇自动化攻击用户的资金返还程序。据官方通报,截至6月26日,系统已完成账户余额的最终快照,所有赔付将依据该数据执行,标志着此次安全事件的补偿工作全面展开。
漏洞根源揭示:签名组件存在致命缺陷
SecondFi披露,此次攻击所利用的技术漏洞源自其钱包创建软件中的一个关键错误——签名模块内确定性随机数生成机制异常。该缺陷导致攻击者仅凭公开的区块链信息即可逆向推导出用户私钥,从而实现资产窃取,暴露出严重的底层安全短板。
补充说明:数字签名过程依赖一次性随机数以确保安全性。若该数值可被预测或重复使用,部分加密协议可能无意中暴露私钥,构成重大安全隐患。
调查发现,本次攻击由两个独立实体实施。根据6月25日更新,首名攻击者分两阶段共入侵171个钱包,而第二名行为者则采用差异化扫描策略,从另外203个地址中成功提取资金。
目前,总计约402万枚ADA已被整合至一个统一监控地址,并处于持续追踪状态。
用户风险警示:切勿转移恢复短语
SecondFi强烈建议受影响用户避免将原有恢复短语导入其他Cardano钱包应用。公司明确指出,问题并非出在钱包软件本身,而是特定地址对应的私钥已被泄露。因此,在不同平台重复使用同一助记词无法消除潜在风险。
6月26日最新公告强调,任何从受损地址发起的交易都可能泄露足够信息供攻击者重建私钥。同时,团队提醒用户暂不领取质押收益,因攻击者正密切监视内存池中的新交易,随时可能对剩余资产发起二次攻击。
SecondFi重申,受波及地址的私钥仍处于可被破解状态,即便将资金转移至新钱包也无法获得实质保护。
补偿机制设立与当前运营状况
SecondFi与其母公司EMURGO共同冻结约1.29亿枚ADA,作为应对此次危机的应急储备金。作为Cardano生态核心基础设施支持方,EMURGO承诺在系统通过第三方网络安全机构全面审计并重新认证前,始终保持资产锁定。
此外,公司已着手建立专项赔偿基金,用于对符合条件的受害者进行全额或部分返还。官方声明称,正常服务将在完成安全审查后才恢复上线。目前平台仍处于维护阶段,但用户可通过指定渠道提交援助请求。
截至本文发布时,ADA价格约为0.148美元,过去24小时上涨逾3%。事件爆发初期,币价一度稳定在0.15美元附近,消息公布后单日跌幅接近2.9%。相较于2026年初0.42美元的历史高点,自年初以来累计跌幅已超54%。