EMURGO 支持的 Cardano 钱包平台 SecondFi 于 2026 年 6 月 23 日披露了其本机网络钱包生成软件中的一个严重安全漏洞。与典型的智能合约错误或网络钓鱼攻击不同,该缺陷存在于负责生成私钥的核心系统中,有效地损害了通过受影响流程创建的每个钱包。
著名的 Cardano 基础设施公司 Blink Labs 发出紧急警告:通过易受攻击的过程生成的任何钱包都应被视为不安全,敦促立即迁移到替代钱包。 SecondFi 确认已隔离根本原因,并表示“问题仅限于我们的原生 Cardano 网络钱包生成软件”,并已暂停所有前端操作,同时委托进行独立安全审核。
对财务影响的估计差异很大。 SecondFi 的初步链上分析表明,大约 1600 万 ADA(按当前价格计算约为 240 万美元)受到影响。然而,区块链安全公司 SlowMist 的前景却黯淡得多。慢雾创始人于贤(Cos)确定了两个可疑攻击者地址,估计损失可能超过 2000 万美元,涉及超过 1.29 亿个 ADA 和其他代币。链上数据显示,6 月 21 日至 22 日期间资金流动协调一致,较大的钱包首先被耗尽——这种模式与批量访问助记词或私钥一致。
社区追踪器已标记出约 178 个被盗钱包,迄今为止还没有被盗资金被追回。 SecondFi 尚未发布最终技术报告或公布补偿计划。
由于 SecondFi 的机构血统,该事件具有更高的意义。作为 Yoroi 的更名后继者(最初由 EMURGO 推出的自我托管钱包,被宣传为 Cardano 的主要零售网关),SecondFi 在生态系统中拥有官方认可。历史先例,例如与暴露的助记词相关的 Bo Shen 4200 万美元黑客攻击,证明了旗舰钱包工具的违规行为如何造成长期声誉损害。
尽管存在钱包层危机,卡尔达诺的协议开发并未受到影响,最近的 Van Rossem 硬分叉主网激活就证明了这一点。
卡尔达诺价格情景:
- 牛市案例:审计验证了 SecondFi 的较低损失估计 (16M ADA),立即宣布赔偿,并且攻击者钱包保持不活跃状态。 ADA 反弹至 0.20 美元。
- 基本案例:损失落在估计值之间;部分补偿出现。由于市场谨慎,ADA 在 0.13 美元至 0.17 美元之间盘整。
- 熊市案例:慢雾的 1.29 亿 ADA 数字已得到确认,被盗资金已被清算,且没有任何赔偿。随着零售信心下降,ADA 面临测试 0.10 美元的风险。
更广泛的影响呼应了全球对钱包层漏洞的担忧,七国集团依云峰会上强调了这一点,其中与朝鲜有关的参与者被指利用多个区块链上的类似漏洞。