与 Cardano 的最知名钱包平台之一相关的一起安全漏洞,暴露了该生态基础设施中的一个根本性脆弱点——而实际损失可能远远大于目前已确认的数字。于 2026 年 6 月 23 日披露的SecondFi Cardano 漏洞事件,已导致数百个钱包被攻破,引发了关于仿冒诈骗的警告,并在网络创始机构最高层的责任问题上提出了紧迫的质疑。
Summary
要点概述
- SecondFi 于 2026 年 6 月 23 日披露了一起严重安全漏洞,源于其基于网页的钱包生成系统中的缺陷。
- 约有178 个钱包被确认遭到攻破,已核实被盗约1600 万枚 ADA 代币,价值约 240 万美元。
- 区块链安全公司 慢雾(SlowMist)预计,潜在损失可能超过2000 万美元,涉及多达 1.29 亿枚 ADA 代币。
- SecondFi 前身为 Yoroi,由 Cardano 三大创始实体之一的 Emurgo 构建——但其尚未承诺向受影响用户进行赔偿。
- 不法分子正在冒充 SecondFi 分发虚假恢复工具;建议用户立即将资金迁移至新钱包。
SecondFi 披露严重安全漏洞
此次漏洞可追溯到一个单一且毁灭性的缺陷:隐藏在 SecondFi 基于网页的钱包生成系统中的一个错误。该缺陷暴露了用户的私有加密密钥——相当于把保险箱密码拱手相让——而用户本人却全然不知这一切已经发生。
被攻破的范围与原因
初步调查确认,大约有178 个钱包被直接攻破。目前已核实的盗窃金额约为1600 万枚 ADA 代币,按当前汇率计算价值约240 万美元,此外还有多种其他数字资产和非同质化代币被盗。
然而,这些数字很可能低估了真实的风险敞口。来自慢雾(SlowMist)的区块链安全专家对本次漏洞进行了分析,并预测总损失可能攀升至超过 2000 万美元,潜在涉及多达1.29 亿枚 ADA 代币。已确认损失与预测损失之间巨大的差距指向一个具体且令人警惕的现实:许多存在风险的钱包尚未被清空,但访问这些钱包的密钥仍掌握在最初利用该缺陷的攻击者手中。
这一差别至关重要。已确认的盗窃反映的是已经发生的事情;而慢雾的预测反映的是,如果受影响用户不采取行动,未来仍可能发生的情况。
SecondFi 采取的紧急措施
SecondFi 迅速做出反应,冻结账户余额并进入维护模式。该平台拥有逾一百万用户,已发布紧急公告,将所有通过受损系统生成的钱包视为潜在暴露对象。正常运营尚未恢复,也未给出恢复时间表。
预估财务影响与持续威胁
已确认的 240 万美元盗窃本身已足够严重,但真正凸显问题规模的是慢雾的分析。这家安全公司预计损失将超过 2000 万美元——约为已确认金额的八倍——这表明有大量处于风险中的钱包仍处于闲置状态,其已被泄露的密钥随时可能再次被利用。
针对用户的虚假“恢复”诈骗
仿佛最初的漏洞还不够糟糕,一种次生威胁几乎立刻浮现。不法分子如今正冒充官方 SecondFi沟通渠道,分发伪造的恢复工具,企图从惊慌失措的钱包持有者那里窃取凭证。
在重大加密事件之后,这是一种有据可查的常见模式:攻击者利用漏洞带来的混乱与紧迫感,对同一批已受害用户发起网络钓鱼攻击。任何与非官方恢复工具互动的行为,都有可能大幅加重损失。用户应仅依赖经过验证的官方沟通,将任何未经请求的恢复协助视为危险信号。
SecondFi 的组织背景及其对生态的影响
要理解此次漏洞为何影响如此深远,必须先弄清 SecondFi 究竟是什么,以及它的来历。
从 Yoroi 过渡到 SecondFi
该平台是在 2026 年 4 月才更名为 SecondFi,此前一直以 Yoroi 之名运营。对于长期的 Cardano 用户而言,这个名字并不陌生:Yoroi 是由 Emurgo 打造的轻量级自托管钱包,而 Emurgo 是Cardano 区块链网络的三大创始实体之一。它曾是希望在不运行完整网络节点的前提下,自行管理密钥的 ADA 持有者的首选方案。
Emurgo 作为 Cardano 创始方的意义
Emurgo 与 Cardano 之间深厚的制度性联系,意味着这并非普通的第三方服务故障。由创始机构构建和维护的基础设施发生安全漏洞,在声誉上的冲击远大于一家无关联钱包服务商遭遇的入侵。它牵涉到整个生态“建制派”的公信力——并让 Cardano 社区不得不面对这样一个尴尬局面:亲眼目睹其核心机构之一如何应对一场如此规模的危机。
Cardano 多年来一直在构建去中心化金融基础设施。如今,一起与创始实体直接相关的重大漏洞事件,正在真实地消耗这一长期积累的信任。
用户指引与赔偿前景的不确定性
对于任何曾使用过 SecondFi 或旧版 Yoroi 网页钱包的用户而言,当前推荐的应对措施既明确又紧迫。
对受影响用户的建议
安全专家强烈建议用户:
- 通过其他未受影响的服务提供商生成新的钱包密钥。
- 立即将所有资金从任何通过 SecondFi 或 Yoroi 网页系统创建的钱包中转出。
- 避免与任何未经请求的恢复工具或声称来自 SecondFi 的通信进行互动。
形势的紧迫性不容低估。慢雾的数据表明,总计多达 1.29 亿枚 ADA 的钱包可能处于脆弱状态,而在不法分子回头清空这些钱包之前,用户可以转移资金的时间窗口是有限的。
Emurgo 在赔偿问题上的不作为
或许最具影响力、但仍未解决的问题是:Emurgo 是否会为其用户遭受的损失承担财务责任。截至目前,该组织尚未表明有意提供赔偿或建立补偿机制。尚未公布任何审计结果,也未给出恢复正常运营的时间表。
这种沉默将难以长期维持。鉴于平台拥有逾百万用户,且潜在损失高达八位数,Cardano 社区会以对待任何创始级机构的标准来审视 Emurgo 的应对方式。该组织选择如何回答——或继续回避回答——这一问题,可能会在未来多年内决定其在生态系统中的地位。
常见问题(FAQ)
是什么原因导致了 SecondFi 的安全漏洞?
SecondFi 基于网页的钱包生成系统中的一个缺陷暴露了用户的私有加密密钥,从而使攻击者能够未经授权访问受影响的钱包。
有多少钱包被攻破,造成了多大损失?
约有 178 个钱包被确认遭到攻破,已核实被盗约 1600 万枚 ADA 代币,价值约 240 万美元。区块链安全公司慢雾(SlowMist)预计,潜在总损失可能超过 2000 万美元,涉及多达 1.29 亿枚 ADA 代币。
受影响用户现在应该怎么做?
用户应立即通过其他服务提供商生成新钱包,并将所有资金从任何通过 SecondFi 或旧版 Yoroi 网页系统创建的钱包中转出。同时,应避免使用任何未经请求的恢复工具或通信,因为不法分子正积极冒充 SecondFi 以窃取凭证。
Emurgo 是否已承诺向受漏洞影响的用户进行赔偿?
没有。Emurgo 目前尚未表示有赔偿受影响用户的计划。该组织尚未公布安全审计结果,也未提供恢复正常服务的时间表。
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”是什么原因导致了 SecondFi 的安全漏洞?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SecondFi 基于网页的钱包生成系统中的一个缺陷暴露了用户的私有加密密钥,从而使攻击者能够未经授权访问受影响的钱包。”}},{“@type”:”Question”,”name”:”有多少钱包被攻破,造成了多大损失?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”约有 178 个钱包被确认遭到攻破,已核实被盗约 1600 万枚 ADA 代币,价值约 240 万美元。区块链安全公司慢雾(SlowMist)预计,潜在总损失可能超过 2000 万美元,涉及多达 1.29 亿枚 ADA 代币。”}},{“@type”:”Question”,”name”:”受影响用户现在应该怎么做?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”用户应立即通过其他服务提供商生成新钱包,并将所有资金从任何通过 SecondFi 或旧版 Yoroi 网页系统创建的钱包中转出。同时,应避免使用任何未经请求的恢复工具或通信,因为不法分子正积极冒充 SecondFi 以窃取凭证。”}},{“@type”:”Question”,”name”:”Emurgo 是否已承诺向受漏洞影响的用户进行赔偿?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”没有。Emurgo 目前尚未表示有赔偿受影响用户的计划。该组织尚未公布安全审计结果,也未提供恢复正常服务的时间表。”}}]}
本文在人工智能协助下撰写,并由编辑团队进行审核。
