SecondFi-Exploit leert 374 Cardano-Wallets, über 16 Millionen ADA bei koordiniertem Angriff gestohlen

TLDR:

• Der SecondFi-Exploit leerte 374 Cardano-Wallets in vier Angriffsereignissen zwischen dem 21.06.–23.06.2026.
• Ungefähr 16 Millionen ADA im Wert von 2,4 Millionen USD wurden von zwei identifizierten Angreifern in drei automatisierten Wellen gestohlen.
• Notfallrettungsmaßnahmen sicherten rund 129 Millionen ADA, und ein dedizierter Wiederherstellungsfonds wurde bereits eingerichtet.
• Betroffene Wallets sind dauerhaft kompromittiert; Nutzer müssen die eigenständige Wiederherstellung der Seed-Phrase oder die Vermögensmigration vermeiden.
  

Cardanos größter Wallet-Anbieter, SecondFi, erlitt zwischen dem 21.06. und 23.06.2026 einen schwerwiegenden Sicherheitsverstoß. Der SecondFi-Exploit leerte Gelder aus 374 Wallet-Adressen in vier separaten Angriffsereignissen.

Ungefähr 16 Millionen ADA, im Wert von rund 2,4 Millionen USD, wurden kompromittiert. EMURGO, eine Mitgründungsinstanz von Cardano, hat seitdem mit einem offiziellen Vorfallsbericht reagiert, Wiederherstellungsmaßnahmen skizziert und eine vollständige Erstattung für alle betroffenen Nutzer zugesagt.

Angriffsumfang und Angreiferidentifikation

Der SecondFi-Exploit entfaltete sich in drei automatisierten Wellen, wobei jede in rascher Folge mehrere Wallets anvisierte. Die forensische Analyse identifizierte zwei unterschiedliche Bedrohungsakteure, die für den Angriff verantwortlich waren. Angreifer A agierte in Welle 1 und 2 und leerte 171 Wallets durch koordinierte automatisierte Chargen.

SecondFi legte die Angreifer-Adressen für vollständige Community-Transparenz öffentlich offen. Angreifer A verwendete drei Sammel-Wallets und eine zentrale Gebührenadresse, die alle mit einem einzigen Stake-Schlüssel verknüpft waren. Angreifer B agierte unabhängig in Welle 3 und erfasste 203 weitere Wallets in einem separaten automatisierten Durchlauf.

Laut SecondFis Beitrag auf X verbleiben über 4 Millionen ADA, die mit Angreifer B verknüpft sind, in einer markierten Sammeladresse.

Diese Adresse wird derzeit aktiv vom Team überwacht und untersucht. Strafverfolgungsbehörden und zuständige Behörden wurden im Rahmen der offiziellen Incident-Response benachrichtigt.

Die Geschwindigkeit und Koordination des Angriffs deuteten auf eine vorsätzliche Multi-Akteur-Operation hin. Sicherheitsanalysten beschrieben ihn als hochentwickeltes Unternehmen und nicht als opportunistischen Angriff.

Notfallreaktion und Vermögenswiederherstellung

Nach der ersten Entdeckung am 22.06. aktivierte SecondFi sofort Notfallreaktionsprotokolle. Ingenieurteams isolierten den Exploit-Vektor und setzten Abhilfemaßnahmen ein, um eine weitere Gefährdung zu verhindern. Die Plattform wurde als Eindämmungsmaßnahme in den Wartungsmodus versetzt.

Ein führendes externes Sicherheitsunternehmen wurde zusammen mit weiteren unabhängigen Partnern hinzugezogen, um ein vollständiges Code-Level-Audit durchzuführen.

SecondFi bestätigte, dass der normale Betrieb erst nach Abschluss dieser Überprüfungen wieder aufgenommen wird. Diese Position spiegelt ein bewusstes Bemühen wider, die Nutzersicherheit über die Betriebsgeschwindigkeit zu stellen.

Durch Notfallrettungsmaßnahmen sicherte SecondFi erfolgreich ungefähr 129 Millionen ADA als Teil umfassenderer Eindämmungsbemühungen.

Alle wiederhergestellten Vermögenswerte werden derzeit sicher verwahrt, während der Wiederherstellungsprozess fortgesetzt wird. Ein dedizierter Wiederherstellungsfonds wurde bereits eingerichtet, um die Erstattung zu unterstützen.

EMURGO bestätigte in seiner Erklärung, dass die Wallet-Adress-Zuordnung abgeschlossen wurde, wodurch die Wiederherstellung in die nächste Phase übergehen kann. Betroffene Nutzer erhalten direkte Anleitung über offizielle Kanäle zu den erforderlichen Schritten, um den Zugang sicher wiederherzustellen.

Kritische Warnungen für betroffene Nutzer

SecondFi gab nach dem Angriff eine eindringliche Sicherheitswarnung an alle betroffenen Wallet-Inhaber heraus. Kompromittierte Wallets müssen auf Adress- und Private-Key-Ebene als dauerhaft kompromittiert behandelt werden. Das einfache Wiederherstellen einer Seed-Phrase in einer anderen Wallet-Anwendung beseitigt das Sicherheitsrisiko nicht.

Nutzern wird dringend geraten, Vermögenswerte nicht eigenständig zu verschieben oder zu versuchen, kompromittierte Wallets selbst zu migrieren.

Einseitiges Handeln könnte sie weiteren Verlusten oder sekundären Exploits aussetzen. Der offizielle Wiederherstellungsprozess ist der einzige sichere Weg für betroffene Konten.

SecondFi und EMURGO bestätigten, dass ein strukturierter, verifizierungsbasierter Anspruchsprozess entwickelt wird. Auch wenn dieser Prozess zusätzliche Zeit in Anspruch nehmen kann, ist er darauf ausgelegt, durchgehend Genauigkeit und Sicherheit zu gewährleisten. Betroffene Nutzer werden aufgefordert, @secondfiapp auf X für alle offiziellen Updates zu folgen.

Der Vorfall löste eine koordinierte Reaktion aus dem gesamten Cardano-Ökosystem aus. Gründungsinstanzen, Partner und Community-Mitglieder mobilisierten schnell, um die Eindämmungsbemühungen zu unterstützen. Diese kollektive Reaktion trug dazu bei, das breitere Netzwerkrisiko in einer kritischen Phase zu begrenzen.

Der Beitrag SecondFi-Exploit leert 374 Cardano-Wallets, über 16 Millionen ADA in koordiniertem Angriff gestohlen erschien zuerst auf Blockonomi.