Charles Hoskinson: Incident SecondFi postavlja standarde denarnic Cardano pod drobnogled

SecondFi ocenjuje vpliv na približno 16 milijonov ADA

Prijavljeni varnostni incident SecondFi je postal ena najresnejših težav, povezanih z denarnicami, ki so leta 2026 prizadele ekosistem Cardano, in je znova usmeril pozornost na to, kako se uporabniška infrastruktura revidira, zavaruje in obnovi po kršitvi.

V javnem odzivu 23. junija je Charles Hoskinson obravnaval incident potem ko je SecondFi objavil posodobitev, v kateri je potrdil, da je izoliral osnovni vzrok in določil začetni obseg vpliva. Glede na posodobitev, na katero se odziv sklicuje, je bila težava omejena na izvorno programsko opremo podjetja SecondFi za generiranje spletnih denarnic Cardano.

SecondFi je svoj trenutni izračun celotnega vpliva postavil pri približno 16 milijonih ADA. Podjetje je tudi potrdilo, da njegova platforma ostaja v varnem vzdrževalnem načinu in da je bil kot del operativnega odziva narejen popoln posnetek stanj.

Zdi se, da je incident povzročil izgubo sredstev uporabnikov, medtem ko končni obseg ostaja predmet neodvisnega tehničnega pregleda. SecondFi je tudi navedel, da sodeluje z vodilnim podjetjem za varnost veriženja blokov, da potrdi svoje ugotovitve.

V krogu skupnosti so se pojavile ločene nepreverjene trditve o precej višji možni izpostavljenosti, vključno s številkami blizu 130 milijonov ADA. Te trditve v posodobitvi, o kateri je govoril Hoskinson, niso bile potrjene. Potrjena ocena, na katero se sklicuje odziv, ostaja približno 16 milijonov ADA.

Neodvisni pregled postaja naslednji preizkus za SecondFi

Takojšnja prednostna naloga so zdaj zamejitev, preglednost in preverjeno odpravljanje posledic. Hoskinson je prvo fazo opisal kot triažo, osredotočeno na ustavitev nadaljnje škode in določitev natančnega obsega vpliva. Ko je ta faza zaključena, sledi naslednji korak, to je popolna razlaga, kaj se je zgodilo, zakaj se je zgodilo, kaj je odpovedalo in kako bodo obravnavani prizadeti uporabniki.

Input Output je zahteval neodvisno revizijo in širše varnostne preglede. Pričakovanje ni le, da se prepozna osnovni vzrok, temveč da zunanje strani potrdijo ugotovitve in preverijo, ali so predlagani popravki pravilno izvedeni.

Ta razlika je pomembna, saj incident vpliva na zaupanje uporabnikov onkraj same tehnične napake. Vdor v denarnico zahteva več kot obvestilo o vzdrževanju. Zahteva jasen javni zapis, neodvisne ugotovitve in verodostojno pot odprave posledic.

Hoskinson je tudi ločil vlogo Input Output od odgovornosti EMURGO in SecondFi. SecondFi ni izdelek Input Output. IOG ni napisal kode, ne upravlja denarnice in ne nadzira odziva EMURGO. Vendar lahko ekipe IOG za odzivanje na incidente in tehnične ekipe na zahtevo nudijo podporo pri forenzičnih analizah, varnostnih pregledih in tehničnih usmeritvah.

Odgovornost za kakršno koli povračilo uporabnikom ostaja pri EMURGO in SecondFi. Širši ekosistem Cardano pa se zdaj sooča z večjim infrastrukturnim vprašanjem ali so varnostni standardi denarnic dovolj močni za izdelke, ki v velikem obsegu hranijo in upravljajo sredstva uporabnikov.

Certifikacija denarnic Cardano stopa v ospredje

Incident je okrepil argumente za formalen okvir certifikacije denarnic Cardano. Denarnice so ključna infrastruktura. Upravljajo uporabniške ključe, poteke podpisovanja in dostop do decentraliziranih aplikacij. Okvara na tej ravni lahko omaje zaupanje, tudi če sam protokol Cardano ni ogrožen.

Program certifikacije bi lahko uvedel jasnejše standarde za pregled kode, varnostno arhitekturo, nadzore razvijalcev, preprečevanje napadov, odzivanje na incidente in ponavljajoče se revizije tretjih oseb.

Za ekosistem, ki se vse bolj poglablja v DeFi, upravljanje, identiteto, plačila in primere uporabe v resničnem svetu, varnost denarnic ni več le skrb na ravni posameznega izdelka. Gre za vprašanje zaupanja na ravni ekosistema.

Varnostno okolje se zaradi umetne inteligence prav tako spreminja. Napredna orodja UI lahko pospešijo odkrivanje ranljivosti, napadalcem pomagajo pri prepoznavanju nenavadnih poti izkoriščanja in povečajo tveganje notranjih groženj. Hoskinson se je skliceval na širše skrbi v panogi glede zlonamernih akterjev, ki poskušajo vstopiti v kripto podjetja in ekipe za denarnice od znotraj.

To tveganje spreminja standard, ki ga pričakujemo od ponudnikov denarnic. Varnost se ne more več zanašati le na to, ali programska oprema navidezno deluje v normalnih razmerah. Ekipe za denarnice bodo morda potrebovale strožje kadrovske kontrole, poglobljene notranje preglede, neodvisne revizije in modele obnove, ki so preizkušeni že pred nastankom incidentov.

Razprava je odprla tudi vrata zavarovalniškim oblikam zaščite za kripto uporabnike. Tradicionalne finance vključujejo mehanizme, ki lahko absorbirajo določene izgube po okvarah ali nesrečah. Kripto uporabniki so pogosto prepuščeni izpostavljenosti v okviru modela na lastno odgovornost. Prihodnja infrastrukturna ureditev denarnic bo morda potrebovala kolektivne zaščitne modele ali zavarovalne izdelke, ki zmanjšajo tveganje na strani izgub, ko pride do vdorov.

Hoskinson je prihodnje izboljšave povezal tudi z napredno kriptografijo, vključno z Midnight Passport, dokazi ničelnega znanja in delegiranim pooblastilom prek agentov. Te tehnologije lahko podprejo varnejše modele identitete, avtorizacije in transakcij v prihodnjih sistemih denarnic.

Input Output pregleduje tudi lastne izdelke in infrastrukturo, vključno z Lace, čeprav ni bilo ugotovljene nobene znane težave. Ta pregled odraža širšo lekcijo incidenta SecondFi, in sicer da v okolju groženj z UI varnost denarnic zahteva stalno preverjanje in ne občasno zanašanje na zaupanje.

Zato je incident SecondFi postal več kot le vdor v denarnico posameznega podjetja. Standarde denarnic Cardano, pričakovanja glede revizij in modele zaščite uporabnikov je postavil pod neposreden drobnogled v času, ko varna infrastruktura postaja osrednja v naslednji fazi ekosistema.