(120BTC.COm)讯:加密货币市场再传重大资安灾情,而这次出包的竟是用户极度信任的官方钱包。Cardano创办实体EMURGO旗下推出的SecondFi(前身为拥有百万用户的Yoroi钱包)日前爆发严重软件漏洞,导致大量用户在未泄漏助记词的情况下,资金惨遭黑客洗劫。一名支持Cardano长达9年的死忠粉丝更在社群上发文哭诉,自己存作退休金的近百万枚ADA已在一夕之间全数归零,引发社群高度关注与哗然。
9年信仰一夕归零,百万ADA退休金被盗
一名名为Jacsam(@j3j30104)的X平台用户在24日发文表示,自己是待在Cardano生态系长达9年的忠实支持者。然而,他存放在SecondFi手机应用程序(App)上的99.8万枚ADA(目前价值约数十万美元),却在自己完全不知情且未批准任何交易的情况下凭空消失。
Jacsam痛心地指出,他一直将助记词(Seedphrase)安全地抄写在纸上保管,唯一的错误就是「过度信任」这款由官方组织EMURGO所推出的钱包。他将生活费以外的所有资金作为退休金投入,如今失去一切,让他身为一名有家庭的父亲感到无比悲伤与痛苦。他甚至沮丧地质疑,自己长期信任Cardano以及创办人Charles Hoskinson是否是一个致命的错误。
官方钱包爆致命漏洞,损失恐逾2000万美元
这场悲剧并非单一事件,而是肇因于SecondFi钱包的重大系统缺陷。根据SecondFi官方在23日的公告,该钱包的生成软件存在严重漏洞,导致部分用户的私钥(Privatekeys)或助记词变得可被黑客预测。这意味着攻击者不需要用户主动泄漏任何信息,就能直接存取并盗走钱包内的资金。
在受害规模方面,SecondFi官方初步估计约有178个钱包受影响,损失约1,600万枚ADA。然而,知名区块链资安机构SlowMist在追踪链上数据后,给出了更为惊人的数字。SlowMist指出,实际损失可能高达1.29亿枚ADA加上其他代币与NFT,总损失金额恐超过2,000万美元。
社群叹未用「冷钱包」,官方暂停服务拟补偿
Jacsam的悲惨遭遇在社群上引发了广泛的同情,但也引来不少资安专家的无奈感叹。许多人指出,将近百万枚ADA的巨额资金存放在连网的手机「热钱包」中,却没有搭配硬件冷钱包(如Ledger)进行多重授权保护,是极度危险的行为。
目前,SecondFi已经全面暂停服务并进入维护模式,官方同时对受影响的钱包余额进行了快照(Snapshot),未来可能会以此为依据进行资金补偿或恢复。对此,Cardano创办人Charles Hoskinson亦出面回应,强调这是钱包应用层面的软件问题,并非Cardano区块链本身的底层协议遭到攻破。尽管如此,部分社群成员仍强烈呼吁,作为官方实体的EMURGO必须为这次严重的疏失负起全责并赔偿受害者。
