EMURGO, tổ chức đồng sáng lập blockchain Cardano, cho biết đã xác định được phương án hoàn trả số tài sản bị đánh cắp trong vụ tấn công nhằm vào ví Secondfi và dự kiến hoàn tất trong khoảng hai tuần.

Theo The Block, ngày 27/6 (giờ địa phương), CEO EMURGO Phillip Pon cho biết trên mạng xã hội X rằng đơn vị này đã hoàn tất điều tra pháp y, xác minh số dư các ví liên quan và tìm ra một “phương án khôi phục rõ ràng”.

Theo kế hoạch, EMURGO sẽ dành một tuần để xây dựng cơ chế khôi phục và thêm một tuần để thử nghiệm. Phillip Pon cũng khuyến cáo những người dùng bị ảnh hưởng chỉ làm theo hướng dẫn chính thức, đồng thời nhấn mạnh Secondfi sẽ không bao giờ yêu cầu khóa riêng tư, cụm từ khôi phục hay quyền truy cập ví.

Trong giai đoạn 21–23/6, Secondfi ghi nhận bốn đợt rút tài sản. Ba trong số đó là các cuộc tấn công từ bên ngoài, với tổng cộng khoảng 16 triệu ADA bị rút khỏi 374 địa chỉ ví, tương đương khoảng 2,4 triệu USD tại thời điểm xảy ra sự cố.

Đợt thứ tư không phải là một vụ tấn công. Theo Secondfi, đây là biện pháp khẩn cấp do chính nền tảng thực hiện nhằm ngăn thiệt hại lan rộng, với khoảng 129 triệu ADA được chuyển sang một bên lưu ký bên thứ ba.

Secondfi cho biết sự cố xuất phát từ một lỗi ở lớp địa chỉ trong phần mềm tạo ví, khiến khóa riêng tư của người dùng bị lộ.

TivaneLabs sau đó đưa ra phân tích chi tiết hơn về nguyên nhân kỹ thuật. Theo đơn vị này, vụ hack bắt nguồn từ lỗi trong cơ chế ký Ed25519, khi quy trình ký thiếu một giá trị bí mật lẽ ra phải được tạo mới cho mỗi lần ký. Lỗ hổng này cho phép kẻ tấn công khôi phục khóa riêng tư chỉ từ một chữ ký.

TivaneLabs nhận định đây không chỉ là lỗi lập trình mà còn phản ánh thất bại trong quản trị. Theo đánh giá của đơn vị này, một tổ chức đồng sáng lập Cardano đã đưa đoạn mã chưa qua kiểm toán vào môi trường vận hành thực tế mà không có bước rà soát độc lập. Nhà nghiên cứu bảo mật Taylor Monahan cũng cho rằng Secondfi đã “tự phát triển mã mật mã, đóng nguồn và không được kiểm toán”.