
Cardano區塊鏈的共同創始實體之一EMURGO週六表示,在一次攻擊耗盡約240萬美元的ADA後數日,它已找到方法將資產返還給其SecondFi錢包的用戶。
EMURGO執行長Phillip Pon在X上發布的一份聲明中表示,該公司已完成其數位鑑識調查,驗證了錢包餘額,並確定了他所謂的「明確復原解決方案」。他將時間線定為大約兩週,其中一週用於建立復原機制,第二週用於測試,然後才開始任何返還作業。
Pon提醒受影響的用戶不要轉移資金或採取SecondFi官方指導之外的任何行動,並表示復原方案是根據受損錢包的當前狀態來建立的。他補充說,目前尚未啟動任何需要用戶參與的步驟,且SecondFi絕不會要求用戶提供私鑰、助記詞或錢包存取權限。
週六發布的這份聲明是該公司首次為復原設定具體時間表。它尚未發布完整的技術事後分析報告,也沒有提供每位用戶的復原金額,或詳細說明用戶將如何領取資金。
SecondFi,即EMURGO在四月份從Yoroi品牌重塑而來的錢包,描述了在6月21日至23日期間發生的四起錢包資金耗盡事件。其中三起是由外部攻擊者執行,他們從374個地址竊取了大約1600萬ADA,當時價值約240萬美元。
在第四起事件中,SecondFi表示它將約1.29億ADA轉移到一個獨立的第三方託管機構,作為緊急措施以防止資金被攻擊者竊取。它表示已委託一家外部會計師事務所來驗證這些持有資產,並且受影響的用戶可以通過其支援網站提出索賠。
該公司表示,它已識別出兩個攻擊者錢包,其中一個耗盡了171個錢包,另一個耗盡了203個,並且約400萬與盜竊相關的ADA位於一個被標記為受監控的收集地址中。它表示已通知執法部門。
SecondFi將此歸咎於其錢包生成軟體中地址層面的缺陷,該缺陷導致用戶私鑰外洩。它警告說,在另一個錢包中恢復受影響的助記詞並不能消除風險,因為當受損地址簽署交易時就會觸發洩露。
更具體的說明來自Tibane Labs,該公司於週六發布了關於此事件的鑑識報告。Tibane Labs正在開發自己的錢包,其發現與前Mt. Gox執行長、同時也是該團隊成員的Mark Karpelès早前在X上發布的公開聲明一致,這意味著其分析來自一個競爭方。
Tibane表示,此次洩露並非由於nonce重用(這種失敗模式曾在2010年導致PlayStation 3故障),而是一個Ed25519簽名錯誤。根據報告,錢包的簽名器(signer)遺漏了標準會混入每個簽名中的每個密鑰的秘密(per-key secret),因此原本應為秘密的值僅從公開的交易數據中計算得出。這使得任何人都可以推導出該值,並且只需一個簽名就足以重建私鑰,無需第二次交易或統計攻擊。
Tibane表示,這個有漏洞的簽名器是一個實驗性、未經審計的SDK,名為trantor,由一位獨立開發者發布到npm上,並於6月8日取代了EMURGO先前發布且經過審計的版本。根據報告,第一個受損簽名也在同一天出現在鏈上。
Tibane表示,底層的密碼學庫是健全的,而問題在於錢包如何將密鑰連接到該庫中,導致秘密的nonce材料未被設置。它表示已對已簽名的Android版本進行反編譯,將其與trantor代碼進行匹配,並從歷史簽名中恢復了受害者的私鑰,以確認該機制。The Block無法獨立驗證這些發現。
EMURGO尚未發布技術事後分析報告,也未公開回應Tibane將此歸因於第三方SDK的說法。另外,安全研究員Taylor Monahan本週表示,SecondFi「自製了加密技術」,且該軟體是閉源且未經審計的。
在SecondFi品牌重塑之前,Yoroi多年來一直是Cardano的主要輕量級錢包,而EMURGO是該網絡的三個創始組織之一。Tibane將此事件描述為管理失職而非編碼錯誤,認為一個創始實體在沒有獨立審查或測試的情況下,將未經審計的代碼部署到生產環境中,取代了經過審計的版本,而這些審查和測試本可以發現這個缺陷。
此次漏洞發生之際,ADA(ADA)的交易價格正接近多年來的低點。它也發生在今年早些時候另一起與nonce相關的故障之後:The Block報導稱,價值2.8億美元的Drift Protocol漏洞是源於Solana「持久性nonce」的濫用,儘管該漏洞被追溯到社會工程而非有缺陷的錢包代碼。
根據Tibane的評估,只有從6月8日之後生成的簽名才受到影響,而在該日期之前簽署的交易使用了經過審計的實施方案。
免責聲明:The Block是一個獨立的媒體機構,提供新聞、研究和數據。截至2023年11月,Foresight Ventures是The Block的主要投資者。Foresight Ventures投資於加密領域的其他公司。加密貨幣交易所Bitget是Foresight Ventures的主要有限合夥人。The Block繼續獨立運營,提供關於加密行業客觀、有影響力且及時的資訊。以下是我們目前的財務披露。
© 2026 The Block。保留所有權利。本文僅供參考。它不應被視為或意圖作為法律、稅務、投資、金融或其他建議使用。