Incident de Sécurité de SecondFi
SecondFi, un projet de portefeuille de l’écosystème Cardano, a récemment signalé un incident de sécurité lié à son logiciel de génération de portefeuilles web natif. L’équipe a indiqué avoir contenu le problème et suspendu les services affectés pendant qu’elle évaluait l’ampleur de l’incident.
« Nous avons identifié la cause profonde de cet incident de sécurité », a déclaré SecondFi dans une mise à jour. « Le problème était limité à notre logiciel de génération de portefeuilles web natif. »
Analyse de l’Incident
L’équipe a complété une analyse on-chain pour déterminer l’ampleur de l’impact. SecondFi a estimé que l’échelle préliminaire des pertes pourrait atteindre environ 16 millions d’ADA. De plus, l’équipe a collaboré avec une entreprise de sécurité blockchain pour réaliser un examen technique indépendant.
Cos, le fondateur de SlowMist, également connu sous le nom de Yu Xian, a averti que les pertes pourraient être bien plus importantes que l’estimation initiale de SecondFi. Il a précisé que cette estimation dépendait de la confirmation de deux adresses Cardano qu’il avait identifiées comme appartenant à des attaquants.
« Les utilisateurs de ce portefeuille ont probablement perdu plus de 20 millions de dollars », a-t-il déclaré dans un post sur X.
Il a ajouté que la perte potentielle pourrait impliquer plus de 129 millions d’ADA et d’autres tokens.
Plus tard, il a expliqué que le modèle de transaction suggérait qu’un attaquant avait pu obtenir un lot de phrases mnémotechniques ou de clés privées avant de déplacer des fonds pendant plusieurs heures. Il a noté que les transferts semblaient passer de montants plus importants à des montants plus petits.
Conséquences et Réactions
SecondFi n’a pas encore publié de rapport technique final ni de plan de compensation détaillé. Le projet a déclaré qu’il continuerait à partager des mises à jour à mesure que l’examen indépendant confirmerait l’ampleur et la cause de l’incident.
Cette affaire a attiré l’attention car elle concerne la génération de portefeuilles, et non seulement une erreur de contrat intelligent ou d’interface. Si la génération de clés échoue, les portefeuilles créés via le logiciel affecté peuvent être directement à risque.
SecondFi est le successeur de Yoroi et a été lancé par EMURGO en tant qu’application de néo-finance en auto-garde pour dépenser, échanger, gagner et épargner. Le catalogue officiel des applications de Cardano répertorie SecondFi comme une plateforme d’auto-garde construite par EMURGO.
Impact sur le Marché
Comme précédemment rapporté par crypto.news, Cardano a déjà fait face à des pressions sur le marché et sur son écosystème ce mois-ci. L’ADA est tombé en dessous de 0,20 $ en juin, tandis que plusieurs projets Cardano et des luttes de gouvernance ont attiré une attention plus large. Au moment de la rédaction, l’ADA se négociait autour de 0,15 $, en baisse de près de 3 % au cours des dernières 24 heures.
L’incident de SecondFi s’inscrit dans une série plus large de problèmes de sécurité touchant les portefeuilles et les plateformes crypto. Dans une mise à jour récente, crypto.news a couvert Trezor Safe 7 après que Ledger Donjon a découvert un défaut de puce, bien que Trezor ait assuré que les fonds des utilisateurs restaient en sécurité. Auparavant, crypto.news avait exploré le cas de piratage de portefeuille de 42 millions de dollars de Bo Shen, qui a été rouvert. SlowMist avait lié ce vol à une phrase mnémotechnique compromise, montrant comment l’exposition de la phrase mnémotechnique peut entraîner des problèmes de récupération durables.
Les utilisateurs de SecondFi doivent désormais suivre uniquement les canaux officiels du projet et se méfier des escroqueries de support. Les événements de violation déclenchent souvent de faux comptes de récupération qui demandent des phrases mnémotechniques, des clés privées ou des transferts. Le chiffre final des pertes reste non confirmé. Pour l’instant, l’estimation publique de SecondFi se situe près de 16 millions d’ADA, tandis que Cos de SlowMist affirme que l’activité suspecte des hackers pourrait faire grimper les pertes potentielles des utilisateurs au-dessus de 20 millions de dollars.
