SecondFi 遭遇 Cardano 錢包漏洞攻擊,導致用戶帳戶數百萬資金被盜
目錄
你可能想知道的
SecondFi 的錢包生成軟體在地址層級的脆弱性如何讓攻擊者在使用者仍持有種子詞的情況下挪走資金?
SecondFi 採取了哪些措施來保護剩餘資產並協助受影響的用戶追回資金?
主要議題
SecondFi(先前稱為 Yoroi)已確認,三起外部攻擊利用了其專有錢包生成軟體中的一個缺陷,導致大約 1,600 萬 ADA —— 以當前匯率約為 240 萬美元 —— 從 374 個用戶錢包中被移出。公司已宣布,已釋出修補該漏洞的軟體補丁給未受攻擊影響的使用者。
該漏洞根源於 SecondFi 內部工具生成與處理地址的方式。因為問題發生在地址層級,把錢包的種子詞移到另一個錢包並不能降低風險。根據 SecondFi 的公開聲明,此安全缺口在受影響使用者簽署交易時被觸發,即使種子詞被轉移到其他地方,攻擊者也能夠抽走資金。
在攻擊者能夠取得更多資金之前,SecondFi 表示已啟動緊急程序,將大約 1.29 億 ADA 轉移到獨立第三方託管機構以保護這些持有資產。團隊還聘請了外部會計師事務所來驗證被救援的餘額,並邀請受影響的使用者直接向 SecondFi 提交索賠以供評估與補救。
儘管有這些遏止措施,損失的潛在範圍可能更大。區塊鏈安全公司 SlowMist 建議,若考慮所有受影響的錢包與代幣,總損失可能超過 2,000 萬美元。這一較廣泛的估算尚未經獨立確認,仍取決於進行中的審計結果。
Cardano 創辦人 Charles Hoskinson 已公開承認此事件,並指出雖然以美元計的金額與其他一些加密貨幣漏洞事件相比不算龐大,但對受影響的用戶而言仍然相當嚴重。「他們失去任何東西都會感到痛苦,」他說,強調此類事件凸顯了加密生態系統持續存在的安全風險。
在報導時,ADA 交易價格接近 0.15 美元,為自 2020 年以來未見的價格水準。市場情況在調查進行時,會影響被盜或有風險資產的估值。
這項關鍵見解對事件理解有重大影響: 因為缺陷存在於地址生成層級,像是移動種子詞等常見補救步驟對受影響的使用者無效 —— 該漏洞在簽署交易時被啟動,造成更廣泛的補救挑戰。
要點表格
| 面向 | 描述 |
|---|---|
| 攻擊摘要 | 三次攻擊利用了 SecondFi 錢包生成軟體的缺陷,從 374 個錢包中抽走了約 1,600 萬 ADA。 |
| 漏洞性質 | 問題發生在地址層級;以受影響地址簽署交易會觸發風險,因此移動種子詞無法保護資金。 |
| 遏止措施 | SecondFi 將約 1.29 億 ADA 轉移到第三方託管並啟動外部會計驗證。 |
| 估計總損失 | SlowMist 估計,若計入所有受影響的錢包與代幣,潛在損失可能超過 2,000 萬美元,待審計確認。 |
| 用戶補救 | 受影響用戶不能依賴種子遷移;必須直接向 SecondFi 提交索賠以供評估。 |
後續...
展望未來,此事件突顯了區塊鏈錢包安全與生態系統韌性需進一步關注的領域。重點包括強化對錢包生成工具的獨立審計、改進專有軟體的程式碼審查與品質保證流程,以及更廣泛採用能即時偵測異常簽署行為的地址與交易層級監控。
加密貨幣服務提供者也應探索增強的託管保護與保險機制,以在發現系統性脆弱性時降低終端使用者的風險。從技術角度來看,對更健全的地址衍生方法、錢包生成邏輯的形式化驗證以及安全金鑰處理標準的研究,可能有助於降低類似事件發生的機率。
SecondFi 的這次攻擊提醒我們,即使是長期運作的錢包專案也可能隱藏關鍵性漏洞;持續投入於審計、透明度與快速事故回應,對提升整個加密生態系的信任與安全至關重要。