Preise werden geladen…
Zipp Zipp Werben
Registrieren Anmelden
〽️NEUTRAL TheBlock

SecondFi-Hack: EMURGO kündigt ADA-Rückgabe binnen zwei

Rund 16 Mio. ADA wurden binnen drei Tagen aus 374 Adressen abgezogen. Der Weg nach vorn führt über ein unauditiertes Drittanbieter-SDK, das am 8. Juni unbemerkt den Signaturcode der Wallet ersetzt hat.

EMURGO erklärte am Samstag, einen Wiederherstellungspfad für Nutzer seiner SecondFi-Cardano-Wallet gefunden zu haben, und will binnen rund zwei Wochen mit der Rückgabe der Vermögenswerte beginnen.

Der Exploit zog zwischen dem 21. und 23. Juni rund 16 Millionen ADA, etwa 2,4 Millionen US-Dollar, aus 374 Adressen ab, ausgelöst durch eine Schwachstelle in SecondFis eigener Wallet-Generierungssoftware. Ein Bericht von Tibane Labs, einem konkurrierenden Wallet-Entwickler, macht ein unauditiertes Drittanbieter-SDK verantwortlich, das laut Bericht am 8. Juni EMURGOs auditierten Signaturcode ersetzt habe und dazu führte, dass eine einzelne Signatur den privaten Schlüssel einer Nutzerin oder eines Nutzers preisgeben konnte.

Warum es relevant ist

Der Vorfall liegt auf der Wallet-Software-Ebene, nicht im Cardano-Protokoll selbst. Der Fehlermodus ist für das Ökosystem dennoch unbequem: Ein Abhängigkeitstausch innerhalb der Build-Pipeline führte ungeprüften Code in einen zuvor auditierten Signaturpfad ein. Genau solche Supply-Chain-Vorfälle veranlassen konkurrierende Wallet-Anbieter, ihre Abhängigkeits-Hashes und Audit-Attestierungen zu veröffentlichen, und sie setzen EMURGO unter Druck, offenzulegen, welches SDK genau ausgetauscht wurde, wann und wie die Ersetzung die Code-Prüfung passieren konnte.

Marktauswirkungen

ADA hat keine koordinierte Marktreaktion auf die Nachricht gezeigt, was zu einem Wallet-Vorfall auf Anbieterseite passt und nicht zu einem Ausfall auf Protokollebene. Das dauerhaftere Signal ist reputational: Ein Verlust von 2,4 Millionen US-Dollar über 374 Nutzerinnen und Nutzer ist gemessen an der Marktkapitalisierung der Chain gering, konzentriert den Schaden aber auf die SecondFi-Nutzerbasis. Beobachten Sie, ob EMURGO die Adressen der Recovery-Verträge veröffentlicht, ob der Zwei-Wochen-Zeitplan hält und ob Cardano-native Wallet-Anbieter beginnen, Attestierungen für Drittanbieter-SDKs standardmäßig zu publizieren.

Verwandte Tokens
$ADA
$ADA#Cardano#WalletExploit#SupplyChain

Häufig gestellte Fragen

  1. Wurde beim SecondFi-Vorfall das Cardano-Protokoll selbst gehackt?

    Nein. Der Exploit zielte auf SecondFis Wallet-Generierungssoftware, nicht auf das Cardano-Protokoll. Zwischen dem 21. und 23. Juni wurden rund 16 Millionen ADA, etwa 2,4 Millionen US-Dollar, aus 374 Nutzeradressen abgezogen.

  2. Wie funktionierte der SecondFi-Exploit konkret?

    Laut einem Bericht von Tibane Labs ersetzte ein unauditiertes Drittanbieter-SDK am 8. Juni EMURGOs auditierten Signaturcode und ermöglichte es, dass eine einzelne Signatur den privaten Schlüssel einer Nutzerin oder eines Nutzers preisgab.

  3. Wer ist EMURGO und was ist SecondFi?

    EMURGO ist eine der Gründungsentitäten hinter Cardano. SecondFi ist EMURGOs Cardano-Wallet-Produkt, und der Exploit traf die Wallet-eigene Software, nicht die zugrunde liegende Chain.

  4. Bekommen betroffene SecondFi-Nutzer ihre ADA zurück?

    EMURGO erklärte am Samstag, einen Recovery-Pfad gefunden zu haben, und will binnen rund zwei Wochen mit der Rückgabe der Vermögenswerte beginnen. Die Adressen der Recovery-Verträge wurden dabei noch nicht genannt.

  5. Wie viel wurde beim SecondFi-Exploit gestohlen?

    Rund 16 Millionen ADA, damals etwa 2,4 Millionen US-Dollar wert, abgezogen aus 374 Adressen über ein Zeitfenster von drei Tagen, vom 21. bis 23. Juni.

Quellenangabe
Aggregiert von TheBlock · Verifiziert · Zuletzt aktualisiert vor 1h
Original öffnen →

Mehr aus Sicherheit

Geschichten, die unsere Redakteure gut dazu finden.

Älter in Sicherheit

Holen Sie sich die frühere Berichterstattung zu diesem Thema nach.