L'exploit SecondFi vide 374 portefeuilles Cardano, plus de 16 millions d'ADA volés dans une attaque coordonnée

TLDR :

• L'exploit SecondFi a vidé 374 portefeuilles Cardano lors de quatre événements d'attaque entre le 21 et le 23 juin 2026.
• Environ 16 millions d'ADA d'une valeur de 2,4 M$ ont été volés par deux attaquants identifiés au cours de trois vagues automatisées.
• Les efforts de sauvetage d'urgence ont permis de sécuriser environ 129 millions d'ADA, et un fonds de restauration dédié a déjà été constitué.
• Les portefeuilles affectés sont définitivement compromis ; les utilisateurs doivent éviter de restaurer eux-mêmes leur phrase de récupération ou de migrer leurs actifs.
  

Le plus grand fournisseur de portefeuilles de Cardano, SecondFi, a subi une faille de sécurité majeure entre le 21 et le 23 juin 2026. L'exploit SecondFi a drainé les fonds de 374 adresses de portefeuilles lors de quatre événements d'attaque distincts.

Environ 16 millions d'ADA, d'une valeur d'environ 2,4 millions de dollars, ont été compromis. EMURGO, une entité cofondatrice de Cardano, a depuis pris la parole avec une mise à jour formelle de l'incident, décrivant les mesures de récupération et s'engageant à rembourser intégralement tous les utilisateurs affectés.

Portée de l'attaque et identification des attaquants

L'exploit SecondFi s'est déroulé en trois vagues automatisées, ciblant chacune plusieurs portefeuilles en rapide succession. L'analyse forensique a identifié deux acteurs malveillants distincts responsables de la faille. L'Attaquant A a opéré lors des Vagues 1 et 2, vidant 171 portefeuilles par le biais de lots automatisés coordonnés.

SecondFi a divulgué publiquement les adresses des attaquants dans un souci de transparence totale envers la communauté. L'Attaquant A a utilisé trois portefeuilles de collecte et une adresse de frais centrale, tous liés à une clé de staking unique. L'Attaquant B a opéré de manière indépendante lors de la Vague 3, balayant 203 portefeuilles supplémentaires dans une exécution automatisée séparée.

Selon la publication de SecondFi sur X, plus de 4 millions d'ADA liés à l'Attaquant B se trouvent toujours dans une adresse de collecte signalée.

Cette adresse fait actuellement l'objet d'une surveillance active et d'une enquête par l'équipe. Les forces de l'ordre et les autorités compétentes ont été notifiées dans le cadre de la réponse formelle à l'incident.

La rapidité et la coordination de l'attaque indiquaient une opération prémédités impliquant plusieurs acteurs. Les analystes en sécurité l'ont décrite comme une entreprise hautement sophistiquée plutôt qu'une faille opportuniste.

Réponse d'urgence et récupération des actifs

Suite à la découverte initiale le 22 juin, SecondFi a immédiatement activé les protocoles de réponse d'urgence. Les équipes d'ingénierie ont isolé le vecteur d'exploitation et déployé des mesures correctives pour éviter toute exposition supplémentaire. La plateforme a été mise en mode maintenance comme mesure de confinement.

Un cabinet de sécurité externe de premier plan, ainsi que des partenaires indépendants supplémentaires, ont été sollicités pour mener un audit complet au niveau du code.

SecondFi a confirmé qu'il ne reprendra pas ses activités normales avant la fin de ces révisions. Cette position reflète un effort délibéré pour prioriser la sécurité des utilisateurs sur la rapidité opérationnelle.

Grâce aux mesures de sauvetage d'urgence, SecondFi a réussi à sécuriser environ 129 millions d'ADA dans le cadre d'efforts de confinement plus larges.

Tous les actifs récupérés sont actuellement conservés en sécurité pendant que le processus de récupération se poursuit. Un fonds de restauration dédié a déjà été constitué pour soutenir le remboursement.

EMURGO a confirmé dans sa déclaration que la cartographie des adresses de portefeuilles a été complétée, permettant à la récupération de passer à la phase suivante. Les utilisateurs affectés recevront des instructions directes via les canaux officiels sur les étapes nécessaires pour restaurer l'accès en toute sécurité.

Avertissements critiques pour les utilisateurs affectés

SecondFi a émis un avertissement de sécurité ferme à tous les détenteurs de portefeuilles affectés suite à la faille. Les portefeuilles compromis doivent être traités comme définitivement compromis au niveau de l'adresse et de la clé privée. Simplement restaurer une phrase de récupération dans une autre application de portefeuille n'éliminera pas le risque de sécurité.

Il est fortement déconseillé aux utilisateurs de déplacer des actifs de manière indépendante ou de tenter de migrer eux-mêmes des portefeuilles compromis.

Agir unilatéralement pourrait les exposer à des pertes supplémentaires ou à des exploits secondaires. Le processus de récupération officiel est la seule voie sûre pour les comptes affectés.

SecondFi et EMURGO ont confirmé qu'un processus de réclamation structuré et basé sur la vérification est en cours de développement. Bien que ce processus puisse nécessiter du temps supplémentaire, il est conçu pour garantir l'exactitude et la sécurité tout au long. Les utilisateurs affectés sont invités à suivre @secondfiapp sur X pour toutes les mises à jour officielles.

L'incident a suscité une réponse coordonnée de l'ensemble de l'écosystème Cardano. Les entités fondatrices, les partenaires et les membres de la communauté se sont mobilisés rapidement pour soutenir les efforts de confinement. Cette réponse collective a contribué à limiter le risque réseau plus large durant une période critique.

L'article SecondFi Exploit Drains 374 Cardano Wallets, Over 16 Million ADA Stolen in Coordinated Attack est apparu en premier sur Blockonomi.