SecondFi, portfel kryptowalutowy ekosystemu Cardano znany wcześniej jako Yoroi Wallet, padł ofiarą zuchwałego ataku hakerskiego. Napastnicy wykorzystali lukę w firmowym oprogramowaniu do generowania portfeli, która odsłoniła klucze prywatne użytkowników i otworzyła dostęp do ich środków. Zespół ujawnił incydent wczoraj (23 czerwca), wstrzymał działanie aplikacji i przełączył ją w tryb serwisowy. Wstępnie ucierpiało około 178 portfeli, ale straty sięgają dziesiątek milionów złotych.
Z tego tekstu dowiesz się:
- dlaczego zawiniło oprogramowanie portfela, a nie sama sieć Cardano,
- ile wynoszą potwierdzone straty, a ile szacuje firma SlowMist,
- czemu samo przeniesienie środków do nowego portfela może nie wystarczyć,
- jak zareagował Charles Hoskinson i jaką rolę odgrywa w tej historii Emurgo.
Atak hakerski na portfel krypto na sieci Cardano. Są ofiary
Źródło problemu zespół zlokalizował w autorskim oprogramowaniu Cardano, które odpowiada za zakładanie nowych portfeli i przypisanych im kluczy prywatnych. To właśnie ten element został złamany, więc atak sięgnął samego fundamentu samodzielnego przechowywania środków. Sieć Cardano nie miała z tym nic wspólnego. Blockchain działał normalnie, a włamanie dotyczyło wyłącznie warstwy aplikacji jednego dostawcy.
Potwierdzone straty SecondFi wycenia na około 16 mln ADA, czyli mniej więcej 2,4 mln dolarów według kursu z chwili ataku. Firma bezpieczeństwa SlowMist, analizując ruch środków na łańcuchu, ostrzega jednak, że łączna ekspozycja może przekroczyć 20 mln dolarów i objąć nawet 129 mln ADA wraz z innymi tokenami. Rozbieżność bierze się stąd, że spora część zagrożonych portfeli mogła jeszcze nie zostać opróżniona. SecondFi twierdzi z kolei, że w trakcie incydentu zdążyło zabezpieczyć około 129 mln ADA, zanim trafiły one do napastników, i przenosi te aktywa do niezależnego depozytariusza w imieniu poszkodowanych.
Problem polega na tym, że ryzyko siedzi na poziomie adresu i ujawnia się przy podpisywaniu transakcji. Zespół ostrzegł wprost, że odtworzenie portfela na innej platformie z tej samej frazy odzyskiwania nie usuwa zagrożenia. Do tego doszła druga fala oszustw: podszywający się pod wsparcie SecondFi naciągacze rozsyłają fałszywe narzędzia do odzyskiwania funduszy i wyłudzają dane.
Charles Hoskinson umywa ręce
Charles Hoskinson, założyciel sieci Cardano w specjalnym nagraniu-odpowiedzi na incydent zaznaczył, że SecondFi nie jest produktem Input Output Global i nie łączą go z portfelem żadne udziały, kontrola ani relacja biznesowa. „IOG to nie Emurgo” – podkreślił, dodając, że firma nie ma wpływu na Emurgo i nie może się wypowiadać w jej imieniu. Yoroi stworzyło właśnie Emurgo, jedna z trzech organizacji założycielskich Cardano, a w kwietniu 2026 roku przemianowała wallet na SecondFi. Można więc powiedzieć że Hoskinson w pewnym sensie umywa ręce, ale zaznaczył, że zespół reagowania na incydenty po stronie IOG pozostaje w kontakcie z SecondFi od poniedziałku włącznie.
Założyciel Cardano przyznał, że choć na tle innych włamań kwoty wyglądają skromnie, dla ofiar to żadne pocieszenie, bo część użytkowników mogła stracić całe oszczędności trzymane w tokenach ADA. Nazwał to przykrą rzeczywistością branży.
Atak trafił w ekosystem Cardano w bardzo trudnym momencie. ADA od początku czerwca tkwi przy najniższych poziomach od grudnia 2020 roku, a dołek na 0,1485 dolara wyznaczyła pierwsza dekada miesiąca, jeszcze przed włamaniem. We wtorek token notowano w okolicach 0,15 dolara, około 3 procent niżej niż dobę wcześniej. Incydent zbiegł się też w czasie z uruchomieniem testnetu Leios, a do tego nakładają się odwołany szczyt w Singapurze, zamknięcie analitycznego TapTools i spory o wydatkowanie skarbca sieci. Sprawa SecondFi wpisuje się przy tym w szerszy trend 2026 roku, w którym napastnicy coraz częściej celują w oprogramowanie tworzące i przechowujące klucze, a nie w same protokoły.
Przeczytaj też inne ważne kryptonewsy:
Stablecoin stracił peg do dolara i 75% swojej wartości. Co się dzieje?
Dzień Ojca dla Satoshiego Nakamoto. Twórca Bitcoina, który nic nie wziął dla siebie
Trump podpisuje decyzje dotyczące komputerów kwantowych. Czy Bitcoin ma się czego obawiać?