Cardano联合创始机构EMURGO表示,已就SecondFi钱包被盗事件确定资产返还方案,预计将在约两周内完成对受影响用户的返还。
The Block当地时间6月27日报道称,EMURGO CEO Phillip Pon在社交平台X(原Twitter)发文表示,团队已完成取证调查,并核对了钱包余额,同时确认了一套“明确的恢复方案”。
按照计划,EMURGO将先用一周时间搭建返还机制,再用一周进行测试。Phillip Pon同时提醒受影响用户,不要自行采取任何未经官方确认的操作,并强调SecondFi不会向用户索要私钥、助记词或钱包访问权限。
SecondFi于6月21日至23日期间出现四笔异常资金变动。其中前三笔为外部攻击者所为,涉及374个钱包地址,合计转走约1600万枚ADA,按当时价格计算约为240万美元。
第四笔转账并非攻击行为,而是SecondFi实施的紧急处置措施。为防止损失进一步扩大,平台将约1.29亿枚ADA紧急转移至外部托管方。
SecondFi表示,问题源于钱包生成软件存在缺陷,进而导致用户私钥泄露。
Tibane Labs随后给出更具体的技术分析。该机构指出,此次事件与Ed25519签名实现错误有关:在钱包签名流程中,本应为每次签名生成的秘密值缺失,导致攻击者仅凭一次签名即可还原私钥。
Tibane Labs认为,这起事件不仅是编码层面的失误,也暴露出治理层面的问题。其指出,作为Cardano生态项目,SecondFi在缺乏独立审查的情况下,将未经审计的代码部署到生产环境。安全研究员Taylor Monahan也表示,SecondFi“自行开发加密代码,源代码未公开,也未经过审计”。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr