Charles Hoskinson: инцидент SecondFi поставил стандарты кошельков Cardano в центр внимания

SecondFi оценивает ущерб примерно в 16 миллионов ADA

Сообщаемый инцидент безопасности SecondFi стал одной из самых серьезных проблем, связанных с кошельками, поразивших экосистему Cardano в 2026 году, вновь привлекая внимание к тому, как пользовательская инфраструктура проходит аудит, защищается и восстанавливается после взлома.

В публичном обращении 23 июня Charles Hoskinson прокомментировал инцидент после того, как SecondFi опубликовала обновление, подтвердившее, что первопричина изолирована и определен первоначальный масштаб последствий. Согласно обновлению, на которое ссылается обращение, проблема была ограничена собственным программным обеспечением SecondFi для генерации веб кошельков Cardano.

SecondFi оценила текущий общий ущерб примерно в 16 миллионов ADA. Компания также подтвердила, что ее платформа остается в безопасном режиме обслуживания и что в рамках операционного реагирования был сделан полный снимок балансов.

Похоже, инцидент привел к потере средств пользователей, при этом окончательный масштаб подлежит независимой технической проверке. SecondFi также указала, что сотрудничает с ведущей фирмой по безопасности блокчейна для подтверждения своих выводов.

Отдельные непроверенные заявления сообщества циркулируют вокруг гораздо более высокого потенциального ущерба, включая цифры около 130 миллионов ADA. Эти утверждения не были подтверждены в обновлении, которое обсуждал Hoskinson. Подтвержденная оценка, на которую ссылается обращение, остается на уровне примерно 16 миллионов ADA.

Независимая проверка становится следующим испытанием для SecondFi

Сейчас первоочередной задачей являются локализация, прозрачность и проверяемое устранение последствий. Hoskinson описал первую фазу как сортировку, сосредоточенную на прекращении дальнейшего ущерба и определении точного радиуса поражения. После завершения этой фазы следующий шаг это полное объяснение того, что произошло, почему это произошло, что вышло из строя и как будут рассматриваться обращения затронутых пользователей.

Input Output запросила независимый аудит и более широкий обзор мер безопасности. Ожидается не только выявление первопричины, но и подтверждение внешними сторонами полученных выводов и того, что предлагаемые исправления были корректно внедрены.

Это различие важно, поскольку инцидент затрагивает доверие пользователей помимо самой технической неисправности. Взлом кошелька требует большего, чем уведомление о техническом обслуживании. Нужны четкая публичная запись, независимые выводы и достоверный план устранения последствий.

Hoskinson также отделил роль Input Output от ответственности EMURGO и SecondFi. SecondFi не является продуктом Input Output. IOG не писала код, не управляет кошельком и не контролирует реакцию EMURGO. Однако команды IOG по реагированию на инциденты и технические команды могут предоставить поддержку в области цифровой криминалистики, обзора безопасности и технических рекомендаций по запросу.

Ответственность за любые меры в отношении пользователей остается за EMURGO и SecondFi. Однако более широкая экосистема Cardano теперь сталкивается с более общим инфраструктурным вопросом о том, достаточно ли сильны стандарты безопасности кошельков для продуктов, которые хранят и управляют средствами пользователей в масштабах.

Сертификация кошельков Cardano выходит на первый план

Инцидент усилил аргументы в пользу формальной системы сертификации кошельков Cardano. Кошельки это критически важная инфраструктура. Они управляют пользовательскими ключами, процессами подписи и доступом к децентрализованным приложениям. Сбой на этом уровне может подорвать доверие даже когда сам протокол Cardano не скомпрометирован.

Программа сертификации могла бы ввести более четкие стандарты для проверки кода, архитектуры безопасности, контроля со стороны разработчиков, предотвращения атак, реагирования на инциденты и регулярных аудитов третьих сторон. Для экосистемы, которая углубляется в DeFi, управление, идентичность, платежи и реальные сценарии использования, безопасность кошельков больше не является только вопросом уровня продукта. Это вопрос доверия уровня всей экосистемы.

Среда безопасности также меняется из за искусственного интеллекта. Продвинутые инструменты AI могут ускорять обнаружение уязвимостей, помогать злоумышленникам выявлять нетипичные пути эксплуатации и повышать риск инсайдерских угроз. Hoskinson упомянул более широкие опасения отрасли по поводу попыток злоумышленников проникать в криптокомпании и команды кошельков изнутри.

Этот риск меняет стандарт, ожидаемый от поставщиков кошельков. Безопасность больше не может опираться только на то, что программное обеспечение выглядит работоспособным в нормальных условиях. Командам кошельков могут понадобиться более строгие кадровые контрольные меры, более глубокие внутренние проверки, независимые аудиты и модели восстановления, которые тестируются до того, как происходят инциденты.

Обсуждение также открыло путь к страховой защите для криптопользователей. Традиционные финансы включают механизмы, способные поглощать определенные убытки после сбоев или катастроф. Криптопользователи часто остаются без защиты в модели осторожного покупателя. Будущей инфраструктуре кошельков могут потребоваться модели коллективной защиты или страховые продукты для снижения риска потерь при возникновении взломов.

Hoskinson также связал будущие улучшения с продвинутой криптографией, включая Midnight Passport, доказательства с нулевым разглашением и делегированные полномочия через агентов. Эти технологии могут поддержать более безопасные модели идентичности, авторизации и транзакций в будущих системах кошельков.

Input Output также проводит проверку собственных продуктов и инфраструктуры, включая Lace, несмотря на отсутствие выявленных проблем. Эта проверка отражает более широкий урок из инцидента SecondFi: в среде угроз, движимой AI, безопасность кошельков требует непрерывной верификации, а не эпизодической уверенности.

Таким образом, инцидент SecondFi стал чем то большим, чем частный взлом кошелька. Он поставил стандарты кошельков Cardano, ожидания в отношении аудита и модели защиты пользователей под прямое рассмотрение в то время, когда безопасная инфраструктура становится центральной для следующего этапа экосистемы.