SecondFi, le portefeuille Cardano anciennement connu sous le nom de Yoroi, a annoncé avoir corrigé un exploit critique qui a siphonné environ 16 millions d'ADA, soit environ 2,4 millions de dollars, de 374 portefeuilles d'utilisateurs au cours de trois attaques distinctes.
Mécanismes d'exploitation
La faille provient d'une faille dans le logiciel propriétaire de génération de portefeuille de SecondFi. La vulnérabilité opérait au niveau de l'adresse, ce qui signifie que le transfert d'une phrase de départ vers un autre portefeuille ne protégeait pas les fonds. Le risque de sécurité se manifeste chaque fois qu'un utilisateur concerné signe une transaction, permettant aux attaquants de rediriger les actifs.
Intervention d'urgence
SecondFi a activé les procédures de secours d'urgence avant que les attaquants ne puissent accéder à 129 millions d'ADA supplémentaires. L'équipe a transféré les actifs compromis chez un dépositaire tiers indépendant et a engagé un cabinet comptable externe pour auditer les avoirs. Les utilisateurs concernés peuvent désormais déposer des réclamations auprès de SecondFi pour une éventuelle restitution.
Impact sur le marché et la communauté
La société de sécurité SlowMist prévoit que les pertes totales pourraient dépasser 20 millions de dollars une fois que tous les portefeuilles et jetons compromis auront été comptabilisés, dans l'attente d'un audit indépendant. Le fondateur de Cardano, Charles Hoskinson, a confirmé l'incident, soulignant que le montant en dollars est modeste par rapport aux piratages cryptographiques plus importants, mais offre peu de réconfort aux victimes. ADA se négocie actuellement à près de 0,15 $, son prix le plus bas depuis 2020, ce qui incite les investisseurs à suivre de près les développements ultérieurs.