CoinDesk
SecondFi, die Cardano-Wallet früher bekannt als Yoroi, wurde von drei separaten Angriffen getroffen, die rund 16 Millionen ADA im Wert von etwa 2,4 Millionen Dollar aus 374 Nutzer-Wallets abzogen, und zwar durch eine Schwachstelle in der proprietären Wallet-Generierungssoftware der Plattform. Für nicht betroffene Nutzer wurde bereits ein Patch ausgerollt.
Die Schwachstelle wird auf Adressebene beim Signieren einer Transaktion aktiviert, was bedeutet, dass betroffene Nutzer sich nicht schützen können, indem sie ihre Seed-Phrase auf eine andere Wallet übertragen. Sie müssen stattdessen Ansprüche direkt bei SecondFi einreichen. Bevor Angreifer weitere 129 Millionen ADA betroffener Nutzer erreichen konnten, löste das Team Notfall-Rettungsmaßnahmen aus und leitete die Mittel an einen unabhängigen Drittverwahrer weiter. Eine externe Wirtschaftsprüfungsgesellschaft wurde beauftragt, diese Bestände zu verifizieren.
Das Blockchain-Sicherheitsunternehmen SlowMist hat geschätzt, dass die Gesamtverluste weiterhin 20 Millionen Dollar übersteigen könnten, sobald die Gesamtheit der kompromittierten Wallets und Token erfasst ist, eine Zahl, die bis zu einer unabhängigen Prüfung unbestätigt bleibt.
Warum das wichtig ist
Der Mechanismus ist die Schlagzeile. Schwachstellen bei der Schlüsselgenerierung auf Adressebene sind eine besonders feindliche Bugklasse, da der übliche Recovery-Schritt bei Selbstverwahrung, das Übertragen einer Seed-Phrase auf eine frische Wallet, die Gefährdung nicht neutralisiert. Jede Signatur von einem kompromittierten Schlüssel bleibt eine offene Tür. SecondFis Claim-Workflow ist daher der einzige Ausweg für betroffene Nutzer, was die Last der Wiedergutmachung einem kleinen Team aufbürdet, das noch mitten in der eigenen Incident Response steckt.
Cardano-Gründer Charles Hoskinson hat den Vorfall öffentlich anerkannt und angemerkt, dass der Dollarbetrag im Vergleich zu anderen Crypto-Hacks bescheiden sei, gleichzeitig aber betont, dass dies den Betroffenen wenig Trost spendet. „Es schmerzt sie, wann immer sie etwas verlieren. Das ist die unglückliche Realität von Crypto“, sagte er.
Marktauswirkungen
ADA wird derzeit bei rund 0,15 Dollar gehandelt, dem niedrigsten Stand seit 2020. Der Exploit trifft auf einen mehrjährigen Abwärtstrend des Tokens und verstärkt den Reputationsdruck auf Cardano-native Wallet-Infrastruktur in einem Moment, in dem die Netzwerkaktivität bereits schwach war.
Häufig gestellte Fragen
-
Wie viel wurde beim SecondFi-Exploit der Cardano-Wallets abgezogen?
SecondFi bestätigte, dass drei Angriffe rund 16 Millionen ADA im Wert von etwa 2,4 Millionen Dollar aus 374 Nutzer-Wallets abgezogen haben.
-
Warum können sich Nutzer nicht durch Verschieben ihrer Seed-Phrase schützen?
Die Schwachstelle sitzt auf Adressebene und wird beim Signieren einer Transaktion aktiviert, das Übertragen einer Seed-Phrase auf eine andere Wallet neutralisiert die Gefährdung daher nicht. Betroffene Nutzer müssen Ansprüche direkt bei SecondFi einreichen.
-
Wie viel ADA konnte SecondFi retten, bevor Angreifer es erreichten?
Das Team löste Notfall-Rettungsmaßnahmen aus und leitete weitere 129 Millionen ADA an einen unabhängigen Drittverwahrer weiter. Eine externe Wirtschaftsprüfungsgesellschaft wurde beauftragt, diese Bestände zu verifizieren.
-
Wie hoch ist SlowMists weiterer Verlustschätzwert?
Das Blockchain-Sicherheitsunternehmen SlowMist schätzt, dass die Gesamtverluste 20 Millionen Dollar übersteigen könnten, sobald die Gesamtheit der kompromittierten Wallets und Token erfasst ist, eine Zahl, die bis zu einer unabhängigen Prüfung unbestätigt bleibt.
-
Wie hat ADA auf den Exploit reagiert?
ADA wird bei rund 0,15 Dollar gehandelt, dem niedrigsten Stand seit 2020. Der Exploit verstärkt den Reputationsdruck auf Cardano-native Wallet-Infrastruktur zusätzlich zu einem bestehenden mehrjährigen Abwärtstrend.
WatcherGuru
TheBlock
Crypto Capital Venture
CryptoSlate
WuBlockchain
Glassnode