SecondFi在2.4M美元Cardano錢包漏洞攻擊後維持兩週恢復計劃

SecondFi 表示，在 Cardano 錢包漏洞導致約 240 萬美元的 ADA 被盜後，資產追回工作仍按計劃推進。 

用戶正在等待錢包檢查工具及安全轉移資產的明確步驟，最新進展於此背景下發布。

SecondFi 表示追回工作仍按計劃推進

SecondFi 表示，追回流程仍在預估的兩週時間表內推進。團隊表示，工程師正同步研究多條技術路線，以便為受影響用戶選擇最安全的追回方式。

該項目表示，計劃於下週初發布一款工具，讓用戶自行查詢錢包是否受到影響，並表示隨後將提供安全流程，協助用戶將資產從平台轉出。

SecondFi 警告，目前尚未啟動任何需要用戶操作的追回步驟。它告知用戶在收到官方指示前勿對錢包進行任何操作，並表示絕不會要求提供私鑰、助記詞、錢包憑證或進行資產轉移。

最新公告緊隨另一則有關詐騙活動增加的警告而來。SecondFi 表示，漏洞發生後，假冒帳號和冒充者一直針對用戶發動攻擊。它還告知用戶在另行通知前，不要向現有 SecondFi 錢包存入更多資金。

漏洞從 374 個地址盜走 1,600 萬枚 ADA

事件起因於攻擊者在 6 月 21 日至 6 月 23 日期間，從 374 個地址盜走了約 1,600 萬枚 ADA，按盜竊發生時的價值計算，約達 240 萬美元。

SecondFi 已將問題與其自身的 Cardano 錢包生成軟體關聯起來。正如 Crypto.News 報導，該項目表示問題僅限於其原生 Cardano 網頁錢包生成軟體，受影響的服務已暫停。

EMURGO 執行長 Phillip Pon 其後表示，公司已完成取證審查，核查了錢包餘額，並找到了他所稱的「明確追回方案」。公司預計需要一週時間建立追回系統，再用一週時間進行測試，之後方可開始退款。

SecondFi 亦將約 1.29 億枚 ADA 轉移至獨立的第三方託管機構，作為緊急應對措施。公司表示，在審查安全漏洞期間採取這一步驟，是為了防止更多資產落入攻擊者手中。

外部報告對錢包代碼提出質疑

Tibane Labs 的一份報告對可能存在的技術缺陷進行了更詳細的說明。該公司表示，此次漏洞源於一個未經審計的第三方 SDK，該 SDK 於 6 月 8 日替換了 EMURGO 經過審計的簽名代碼。

安全研究員 Taylor Monahan 也對錢包代碼提出批評，稱 SecondFi「自行開發了加密方案」。此評論對該項目造成了額外壓力，因為 Yoroi（即現在的 SecondFi）在品牌重塑之前已為 Cardano 用戶服務多年。

事件的完整原因仍需等待 EMURGO 或 SecondFi 發布官方技術報告。在此之前，用戶只能參考公開更新、外部分析及該項目的追回公告。

用戶等待錢包檢查工具及安全退出步驟

SecondFi 的下一個關鍵步驟是預計於下週初推出的錢包檢查機制。該工具應能幫助用戶在任何追回行動開始前，確認自己是否屬於受影響群體。

該項目已要求用戶僅使用官方渠道及支援工單。這一警告十分重要，因為錢包遭駭事件往往會引來假冒追款連結、網路釣魚表單及索要助記詞的帳號。

目前，受影響用戶在未獲官方指引前，不應簽署新交易或轉移資產。SecondFi 表示，追回工作取決於受損錢包的當前狀態，因此提前行動可能帶來更大風險。

此案現正考驗 SecondFi 能否在說明問題所在的同時，安全地退還資金。隨著 ADA 價格徘徊於多年低位，錢包安全問題仍持續受到審視，這一事件也為 Cardano 用戶帶來了新的隱憂。