A carregar preços…
Zipp Zipp Anunciar
Criar conta Iniciar sessão
〽️NEUTRAL TheBlock

EMURGO prepara devolução de ADA após SecondFi perder 16M em

Cerca de 16 milhões de ADA foram drenados de 374 endereços em três dias, e o caminho a seguir passa por um SDK de terceiros não auditado que substituiu silenciosamente o código de assinatura da própria wallet a 8 de junho.

A EMURGO disse no sábado que identificou um caminho de recuperação para os utilizadores da sua wallet SecondFi em Cardano e pretende começar a devolver os ativos dentro de cerca de duas semanas.

O exploit drenou cerca de 16 milhões de ADA, aproximadamente 2,4 milhões de dólares, de 374 endereços entre 21 e 23 de junho, através de uma falha no software de geração de carteiras da própria SecondFi. Um relatório da Tibane Labs, uma construtora de wallets concorrente, aponta para um SDK de terceiros não auditado que, segundo a empresa, substituiu a 8 de junho o código de assinatura auditado da EMURGO e deixou uma única assinatura capaz de vazar a chave privada de um utilizador.

Porque é que importa

A brecha acontece na camada do software da wallet, não no protocolo Cardano em si, mas o modo de falha é desconfortável para o ecossistema: uma troca de dependências dentro do pipeline de build introduziu código não avaliado num caminho de assinatura previamente auditado. É o tipo de evento de cadeia de abastecimento que leva as wallets concorrentes a publicar os hashes das suas dependências e atestados de auditoria, e que pressiona a EMURGO a divulgar exatamente que SDK foi substituído, quando e como a substituição passou a revisão de código.

Impacto no mercado

A ADA não apresentou uma reação de mercado coordenada à notícia, o que é consistente com um incidente do fornecedor da wallet e não com uma falha ao nível do protocolo. O sinal mais duradouro é reputacional: uma perda de 2,4 M$ em 374 utilizadores é pequena face à capitalização de mercado da cadeia, mas concentra os danos especificamente na base de utilizadores da SecondFi. Vale a pena acompanhar se a EMURGO publica os endereços dos contratos de recuperação, se o prazo de duas semanas se mantém e se os fornecedores de wallets nativas de Cardano começam a publicar atestados de SDKs de terceiros como prática padrão.

Tokens relacionados
$ADA
$ADA#Cardano#WalletExploit#SupplyChain

Perguntas frequentes

  1. O protocolo Cardano foi ele próprio hackeado no incidente da SecondFi?

    Não. O exploit visou o software de geração de carteiras da SecondFi, não o protocolo Cardano. Cerca de 16 milhões de ADA, aproximadamente 2,4 milhões de dólares, foram drenados de 374 endereços de utilizadores entre 21 e 23 de junho.

  2. Como é que o exploit da SecondFi funcionou na prática?

    Segundo um relatório da Tibane Labs, um SDK de terceiros não auditado substituiu a 8 de junho o código de assinatura auditado da EMURGO e deixou uma única assinatura capaz de vazar a chave privada de um utilizador.

  3. Quem é a EMURGO e o que é a SecondFi?

    A EMURGO é uma das entidades fundadoras da Cardano. A SecondFi é o seu produto de wallet em Cardano, e o exploit atingiu o software da própria wallet, não a cadeia subjacente.

  4. Os utilizadores afetados da SecondFi vão recuperar os seus ADA?

    A EMURGO disse no sábado que identificou um caminho de recuperação e pretende começar a devolver os ativos dentro de cerca de duas semanas. O anúncio ainda não indicou os endereços dos contratos de recuperação.

  5. Quanto foi perdido no exploit da SecondFi?

    Cerca de 16 milhões de ADA, avaliados em aproximadamente 2,4 milhões de dólares na altura, drenados de 374 endereços ao longo de uma janela de três dias, de 21 a 23 de junho.

Atribuição da fonte
Agregado de TheBlock · Verificado · Última atualização há 1h
Abrir original →

Mais de Segurança

Histórias que os nossos editores acham que combinam bem com esta.

Mais antigo em Segurança

Atualize-se sobre a cobertura anterior deste tema.