SecondFiwallet漏洞事件致约1600万枚ADA被盗,平台拟于两周内完成全部资产赔付

这次SecondFi wallet漏洞事件，影响面比预想中要大。374个地址、大约1600万枚ADA被盗，直接损失约240万美元，而潜在的总损失，恐怕会超过2000万美元。出问题的原因，是SecondFi自己开发的wallet生成软件在随机数上存在漏洞，不过Cardano底层并没有受到影响。目前，平台已经对受损用户资产完成了快照，按照计划，大约两周后开始资产返还——一周用来制定技术方案，一周用于测试审查。

SecondFi方面表示，他们已经完成了法医调查，也做了最终的余额快照，资产归还程序已经准备就绪。

事实上，SecondFi已经为周二攻击事件的受影响用户确定了恢复路径，预计在完成测试和安全审查之后，大约两周内就能开始资产归还。

据SecondFi开发商Emurgo的CEO Phillip Pon在周六发布的声明，公司已经完成了法医调查，并建立了针对受影响用户的恢复路径。Pon提到，接下来一周时间用来构建解决方案，接着再花一周进行测试，之后才会正式启动资产归还。他特别提醒用户，暂时不要迁移资产，也不要采取任何官方指导以外的操作。原因很简单——回收流程是基于现有钱&包状态设计的，如果用户私自行动，反而可能让资金归还的过程变得更复杂。

上图是SecondFi开发者Emurgo分享的钱&包恢复进展公告截图。

事情源于周二，SecondFi披露了一起安全漏洞，涉及约1600万ADA（当时价值约240万美元），共有374个地址中招。根据官方的说法，问题出在他们钱&包生成软件的地址层上，导致用户的私钥暴露了出去。

另外，公司还通过紧急措施筹集到了大约1.29亿ADA资金，并已经转交给独立的第三方托管机构——这笔钱将一直托管在那里，直到核查和回收程序全部走完。

目前，SecondFi还没有发布详尽的事后分析报告，具体说明漏洞到底是怎么被利用的。

SecondFi 警告与恢复相关的欺诈

而在周六的另一条更新中，SecondFi又发出警告：随着恢复工作的推进，已经发现有恶意人士在散布冒充钱&包的欺诈信息。公司明确表示，目前并没有启动任何需要用户参与主动操作的恢复行动，也绝不会要求用户提供私钥、助记词、钱&包凭证，或直接要求访问您的钱&包。

任何要求用户提交钱&包信息、迁移资产，或者在其官方认证的沟通渠道之外立即行动的消息，都应该直接视为欺诈。声明还补充说，需要帮助的用户应该通过官方支持门户提交工单，耐心等待恢复进程推进。