SecondFi, das Cardano-Wallet, das früher als Yoroi bekannt war, gab bekannt, dass es einen kritischen Exploit gepatcht hat, der durch drei separate Angriffe etwa 16 Millionen ADA – was etwa 2,4 Millionen US-Dollar entspricht – aus 374 Benutzer-Wallets abgezogen hat.
Exploit-Mechanik
Der Verstoß entstand durch einen Fehler in der proprietären Wallet-Generierungssoftware von SecondFi. Die Sicherheitslücke bestand auf Adressebene, was bedeutet, dass die Übertragung einer Seed-Phrase auf eine andere Wallet die Gelder nicht schützte. Das Sicherheitsrisiko zeigte sich immer dann, wenn ein betroffener Benutzer eine Transaktion unterzeichnete, was es Angreifern ermöglichte, Vermögenswerte umzuleiten.
Notfallreaktion
SecondFi aktivierte Notfallrettungsverfahren, bevor die Angreifer auf weitere 129 Millionen ADA zugreifen konnten. Das Team übertrug die kompromittierten Vermögenswerte an eine unabhängige Drittverwahrstelle und beauftragte eine externe Wirtschaftsprüfungsgesellschaft mit der Prüfung der Bestände. Betroffene Benutzer können nun bei SecondFi Ansprüche auf mögliche Rückerstattung geltend machen.
Auswirkungen auf den Markt und die Gemeinschaft
Das Sicherheitsunternehmen SlowMist prognostiziert, dass die Gesamtverluste bis zu einer unabhängigen Prüfung 20 Millionen US-Dollar übersteigen könnten, sobald alle kompromittierten Wallets und Token erfasst sind. Cardano-Gründer Charles Hoskinson bestätigte den Vorfall und stellte fest, dass der Dollarbetrag im Vergleich zu größeren Krypto-Hacks bescheiden sei, den Opfern jedoch wenig Trost gebe. ADA wird derzeit bei etwa 0,15 US-Dollar gehandelt, dem niedrigsten Preis seit 2020, was Anleger dazu veranlasst, die weiteren Entwicklungen genau zu beobachten.