Charles Hoskinson: SecondFi Vorfall stellt Cardano Wallet Standards auf den Prüfstand

SecondFi schätzt die Auswirkungen auf etwa 16 Millionen ADA

Der gemeldete Sicherheitsvorfall bei SecondFi hat sich zu einem der schwerwiegendsten Wallet bezogenen Probleme im Cardano Ökosystem im Jahr 2026 entwickelt und lenkt die Aufmerksamkeit erneut darauf, wie nutzernahe Infrastruktur geprüft, gesichert und nach einem Verstoß wiederhergestellt wird.

In einer öffentlichen Reaktion am 23. Juni ging Charles Hoskinson auf den Vorfall ein, nachdem SecondFi ein Update veröffentlicht hatte, das bestätigte, dass die Grundursache isoliert und der anfängliche Umfang der Auswirkungen bestimmt wurde. Dem in der Reaktion erwähnten Update zufolge war das Problem auf SecondFis native Software zur Erstellung von Cardano Web Wallets beschränkt.

SecondFi bezifferte seine aktuelle Schätzung der Gesamtauswirkungen auf ungefähr 16 Millionen ADA. Das Unternehmen bestätigte außerdem, dass sich seine Plattform weiterhin im sicheren Wartungsmodus befindet und dass im Rahmen der operativen Reaktion ein vollständiger Snapshot der Guthaben erstellt wurde.

Der Vorfall scheint zum Verlust von Nutzervermögen geführt zu haben, während der endgültige Umfang einer unabhängigen technischen Überprüfung unterliegt. SecondFi gab zudem an, mit einem führenden Blockchain Sicherheitsunternehmen zusammenzuarbeiten, um die Ergebnisse zu validieren.

Unabhängig davon kursieren nicht verifizierte Community Angaben über eine deutlich höhere potenzielle Exponierung, darunter Zahlen nahe 130 Millionen ADA. Diese Angaben wurden in dem von Hoskinson diskutierten Update nicht bestätigt. Die bestätigte Schätzung, auf die sich die Reaktion bezieht, bleibt bei ungefähr 16 Millionen ADA.

Unabhängige Überprüfung wird zum nächsten Test für SecondFi

Die unmittelbare Priorität sind nun Eindämmung, Transparenz und verifizierte Behebung. Hoskinson beschrieb die erste Phase als Triage, mit dem Fokus darauf, weiteren Schaden zu stoppen und den genauen Schadensradius zu identifizieren. Sobald diese Phase abgeschlossen ist, folgt als nächster Schritt eine vollständige Erklärung dessen, was geschehen ist, warum es geschehen ist, was versagt hat und wie die betroffenen Nutzer behandelt werden.

Input Output hat eine unabhängige Prüfung und umfassendere Sicherheitsreviews angefordert. Erwartet wird nicht nur, dass die Grundursache identifiziert wird, sondern dass externe Parteien die Ergebnisse validieren und bestätigen, ob die vorgeschlagenen Korrekturen ordnungsgemäß umgesetzt wurden.

Diese Unterscheidung ist wichtig, weil der Vorfall das Vertrauen der Nutzer über den technischen Ausfall hinaus betrifft. Ein Wallet Einbruch erfordert mehr als eine Wartungsmitteilung. Es braucht eine klare öffentliche Dokumentation, unabhängige Feststellungen und einen glaubwürdigen Behebungsplan.

Hoskinson trennte außerdem die Rolle von Input Output von den Verantwortlichkeiten von EMURGO und SecondFi. SecondFi ist kein Produkt von Input Output. IOG hat den Code nicht geschrieben, betreibt das Wallet nicht und kontrolliert nicht die Reaktion von EMURGO. Allerdings können die Incident Response und Technik Teams von IOG auf Anfrage Unterstützung bei Forensik, Sicherheitsüberprüfung und technischer Beratung leisten.

Die Verantwortung für etwaige Nutzerentschädigungen liegt bei EMURGO und SecondFi. Das breitere Cardano Ökosystem steht jedoch nun vor einer weiter gehenden Infrastrukturfrage, nämlich ob die Wallet Sicherheitsstandards für Produkte, die Nutzervermögen in großem Maßstab halten und verwalten, stark genug sind.

Cardano Wallet Zertifizierung rückt in den Fokus

Der Vorfall hat das Argument für ein formales Cardano Wallet Zertifizierungsframework gestärkt. Wallets sind kritische Infrastruktur. Sie verwalten Nutzerschlüssel, Signaturabläufe und den Zugang zu dezentralen Anwendungen. Ein Ausfall auf dieser Ebene kann das Vertrauen beschädigen, selbst wenn das Cardano Protokoll selbst nicht kompromittiert ist.

Ein Zertifizierungsprogramm könnte klarere Standards für Code Reviews, Sicherheitsarchitektur, Entwicklerkontrollen, Angriffsprävention, Incident Response und wiederkehrende Prüfungen durch Drittparteien einführen. Für ein Ökosystem, das tiefer in DeFi, Governance, Identität, Zahlungen und Anwendungsfälle in der realen Welt vordringt, ist Wallet Sicherheit nicht mehr nur ein Thema auf Produktebene. Es ist eine Vertrauensfrage auf Ökosystemebene.

Das Sicherheitsumfeld verändert sich zudem durch künstliche Intelligenz. Fortgeschrittene KI Werkzeuge können die Entdeckung von Schwachstellen beschleunigen, Angreifer bei der Identifizierung ungewöhnlicher Ausnutzungspfade unterstützen und das Risiko von Insiderbedrohungen erhöhen. Hoskinson verwies auf weiter gefasste Branchenbedenken hinsichtlich böswilliger Akteure, die versuchen, in Kryptounternehmen und Wallet Teams von innen einzudringen.

Dieses Risiko verändert den Standard, der von Wallet Anbietern erwartet wird. Sicherheit kann sich nicht länger nur darauf stützen, ob Software unter normalen Bedingungen zu funktionieren scheint. Wallet Teams benötigen möglicherweise strengere Einstellungsprozesse, tiefere interne Reviews, unabhängige Audits und Wiederherstellungsmodelle, die getestet werden, bevor Vorfälle eintreten.

Die Diskussion öffnete zudem die Tür für Schutz nach Art einer Versicherung für Kryptonutzer. Die traditionelle Finanzwelt umfasst Mechanismen, die bestimmte Verluste nach Ausfällen oder Katastrophen abfedern können. Kryptonutzer bleiben häufig in einem Modell des Käufers auf eigene Verantwortung exponiert. Künftige Wallet Infrastruktur könnte kollektive Schutzmodelle oder Versicherungsprodukte benötigen, um das Abwärtsrisiko zu reduzieren, wenn es zu Verstößen kommt.

Hoskinson verband zukünftige Verbesserungen auch mit fortgeschrittener Kryptografie, darunter Midnight Passport, Zero Knowledge Nachweise und delegierte Autorität durch Agenten. Diese Technologien könnten über künftige Wallet Systeme sicherere Modelle für Identität, Autorisierung und Transaktionen unterstützen.

Input Output überprüft zudem seine eigenen Produkte und Infrastrukturen, darunter Lace, obwohl kein bekanntes Problem identifiziert wurde. Diese Überprüfung spiegelt die größere Lehre aus dem SecondFi Vorfall wider, nämlich dass Wallet Sicherheit in einem von KI getriebenen Bedrohungsumfeld kontinuierliche Verifikation erfordert und nicht gelegentliches Vertrauen.

Der SecondFi Vorfall ist damit mehr als ein unternehmensspezifischer Wallet Einbruch geworden. Er hat Cardanos Wallet Standards, Prüfungserwartungen und Nutzerschutzmodelle in den direkten Fokus gerückt, zu einer Zeit, in der sichere Infrastruktur für die nächste Phase des Ökosystems zentral wird.