Charles Hoskinson: SecondFi Uygulaması İhlal Edildi, Cardano Protokolü Etkilenmedi

Charles Hoskinson, SecondFi uygulamasından küçültülmüş TypeScript kodunu inceledikten ve cüzdan olayı üzerine bağımsız adli analiz yürüttükten sonra 24 Haziran 2026 tarihinde yeni bir canlı güncelleme paylaştı. Güncelleme, saldırının nasıl gerçekleşmiş göründüğüne, neden olayın SecondFi uygulama kodunu işaret ettiğine ve mevcut kanıtların Cardano protokolünde, çekirdek düğümlerde, açık kaynak cüzdan kütüphanelerinde ya da temel kriptografide bir arızaya işaret etmediğine odaklandı.

Cardano Protokol Güvenliği SecondFi Olayından Ayrıldı

Hoskinson yaptığı incelemede, SecondFi olayının tek bir uygulamayla sınırlı mı yoksa Cardano kriptografik tedarik zincirinde daha geniş bir meseleyle bağlantılı mı olduğunu ele aldı. Değerlendirmesi, ekosistemdeki çoğu cüzdan tarafından kullanılan açık kaynak Cardano kriptografik kütüphanelerinin ihlal edildiğine dair bir belirti bulmadı.

Teknik inceleme, anahtar türetimi, imza oluşturma, kurtarma kelimeleri üretimi, HD cüzdan mekanikleri ve UTXO seçimini kapsadı. Bu bileşenlerin, olaydan önce Cardano cüzdanları genelinde kullanılan açık kaynak altyapıyla tutarlı olduğu belirtildi.

SecondFi ile bağlantılı anormal işlemler ise açık kaynak standartlarından değiştirilmiş, uygulamanın kapalı kaynak kod tabanına bağlandı. Bu ayrım güncellemenin merkezindeydi, Cardano ağı, düğümleri, protokol düzeyi kriptografisi ve açık kaynak cüzdan altyapısı belirli bir cüzdan uygulaması içindeki şüpheli arızadan ayrıştırıldı.

SecondFi Kodu ve Cüzdan Denetim Standartları Odağa Taşınıyor

Vakanın bir sonraki aşaması artık bağımsız bir denetime bağlı. Bu sürecin, olayın nasıl gerçekleştiğini, kimin sorumlu olduğunu ve etkilenen kullanıcılara hangi iyileştirme planının sunulacağını açıklaması bekleniyor.

Hoskinson, Emurgo ya da SecondFi ekibinden daha fazla açıklama gelmeden önce saldırının belirli teknik yolunu yayımlamaktan kaçındı. Güncelleme bunun yerine resmi doğrulamayı, denetim disiplinini ve uygulama düzeyi sorumluluğu soruşturmanın merkezine yerleştirdi.

Olay, Cardano ekosisteminde cüzdan standartları konusundaki daha geniş soruyu da yeniden gündeme getirdi. Lace ve Daedalus, açık kaynak görünürlüğü ve dış inceleme etrafında geliştirilen cüzdan yazılımlarına örnek olarak anıldı. Güncellemede sunulan daha geniş görüş, kullanıcı fonlarını işleyen cüzdan kodunun açık kaynak olması, düzenli olarak denetlenmesi ve kriptografik bileşenlerin daha geniş ekosistemi etkilediği durumlarda ortak denetimle sürdürülmesi gerektiğiydi.

Endişe yalnızca bir güvenlik açığının varlığı değildi. Daha derin sorun, hassas kriptografik kodun kamuya açık inceleme dışında değiştirilmesidir. Cüzdan geliştiricileri için SecondFi vakası artık uygulama tasarımını, kriptografik uygulamayı, denetim geçmişini ve açık kaynak şeffaflığını doğrudan güvenlik tartışmasının içine yerleştiriyor.

Kullanıcı Güvenliği, White Hat İddiaları ve İyileştirme Planı

Güncelleme, bazı fonların saldırgan tarafından değil bir white hat aktör tarafından taşınmış olabileceğine dair erken iddialara da değindi. Bu iddianın denetim süreci ya da resmi bir iyileştirme planı yoluyla hâlâ teyide ihtiyacı var ve fonların kurtarılması ile iade prosedürleri belirsizliğini koruyor.

Hoskinson, 24 cüzdan kurtarma kelimesinin ihlal edilip edilmediği sorusunu da ele aldı. İncelediği koda dayanarak, o aşamada kurtarma kelimelerinin kendilerinin ihlal edilmiş görünmediğini belirtti. Güncelleme ayrıca, özellikle cüzdanların Yoroi içinde oluşturulup daha sonra SecondFi içine aktarılmış olabileceği ya da doğrudan SecondFi içinde oluşturulmuş olabileceği durumlarda, tam anahtar türetim sürecine eksiksiz erişim olmadan bunun doğrulanmasının zor olduğuna dikkat çekti.

Denetim ve iyileştirme süreci tamamlanana kadar SecondFi uygulaması ihlal edilmiş olarak değerlendirilmelidir. Güncellemede tarif edilen en güvenli yaklaşım, anahtarları hareketsiz bırakmak ve herhangi bir SecondFi cüzdanı üzerinden işlem yapmaktan kaçınmaktır.

Güncelleme ayrıca Input Output şirketinin rolünün sınırlarını netleştirdi. Şirketin protokol düzeyinde fonları dondurma, geri çevirme ya da kurtarma konusunda özel bir yetkisi yok. Cardano bu tür müdahale mekaniklerini içermiyor ve ağı, hiçbir şirketin ya da bireyin kullanıcı bakiyelerini kontrol etmediği küresel bir kripto para modeliyle hizalıyor.

Soruşturma artık üç somut çıktıya dayanıyor, bağımsız bir denetim, SecondFi için sorumlu ekiplerden teknik bir açıklama ve bir kullanıcı iyileştirme planı. Daha geniş Cardano ekosistemi için canlı güncelleme, vakayı uygulama koduna, kapalı kaynak cüzdan değişikliklerine ve denetim sorumluluğuna daraltırken, protokol katmanını, açık kaynak cüzdan kütüphanelerini ve çekirdek kriptografik altyapıyı bildirilen arızanın dışında tutuyor.