SecondFi, un progetto su Cardano (ADA), ha subito una grave violazione della sicurezza legata a una falla nel suo stesso software di generazione wallet. Le stime dei danni variano da 16 milioni di ADA a oltre 129 milioni di ADA oltre a token aggiuntivi presenti nei wallet compromessi.
ADA viene scambiata a $0,150237 al 24 giugno, in calo del 3% nelle ultime 24 ore. A quel prezzo, la stima massima di SlowMist pari a 129 milioni di ADA corrisponde a circa 19,4 milioni di dollari. Yu Xian di SlowMist, noto con il nickname Cos, ha stimato perdite totali superiori a 20 milioni di dollari. I token non ADA presenti nei wallet compromessi hanno fatto salire ulteriormente la cifra rispetto alle stime interne di SecondFi.
Come si è sviluppato l’exploit di SecondFi
Il team di SecondFi ha rintracciato la violazione a una vulnerabilità del proprio software di generazione wallet. Questa falla ha consentito agli attaccanti di accedere ai fondi presenti in vari wallet degli utenti. È importante sottolineare che il protocollo di base di Cardano non è stato il punto di ingresso. Il progetto ha effettuato un’analisi on-chain per mappare l’entità degli indirizzi coinvolti.
SecondFi ora collabora con una società indipendente di sicurezza blockchain per una revisione tecnica.
La stima interna del progetto indica perdite per circa 16 milioni di ADA. Tuttavia, l’analisi di SlowMist dei movimenti dei fondi degli hacker e delle attività dei wallet suggerisce un impatto maggiore. Yu Xian ha affermato che oltre 129 milioni di ADA e altri token potrebbero essere stati trasferiti tramite indirizzi collegati all’attaccante.
Questa discrepanza fa pensare che la cifra finale dipenderà notevolmente dall’esito della revisione indipendente.
L’incidente segue uno schema di attacchi a livello di infrastruttura che hanno preso piede nel 2026. All’inizio del mese, la violazione della chiave privata di Humanity Protocol ha fatto crollare del 88% il valore del suo token in 24 ore.
Un attaccante ha ottenuto il controllo tramite materiale di chiave compromesso. Allo stesso modo, l’exploit del bridge di Syscoin ha dimostrato come le falle a livello software spesso sfuggano alle classiche revisioni di sicurezza. In entrambi i casi, la vulnerabilità proveniva dagli strumenti implementati al di sopra della chain di base, e non dal protocollo sottostante.
ADA sotto pressione dopo l’exploit di SecondFi
ADA è già scambiata vicino ai minimi degli ultimi cinque anni. Charles Hoskinson ha recentemente proposto un piano di salvataggio per Cardano, ma le titolari di ADA restano in gran parte scettiche. La violazione aggiunge un altro fattore negativo a un ecosistema già in difficoltà.
Hoskinson ha commentato l’incidente di SecondFi, sottolineando che, sebbene le perdite possano apparire ridotte confrontandole con altre violazioni nel settore crypto, non offrono alcun conforto alle persone coinvolte. Ha evidenziato che alcune utenti hanno rischiato di perdere tutte le proprie ADA, definendo ciò una triste realtà del settore.
L’exploit è emerso appena un giorno dopo che Cardano ha lanciato la testnet Leios Musashi Dojo. I primi dati sull’attività della rete Cardano mostravano pochi segnali di un aumento significativo on-chain. Pertanto, la violazione potrebbe complicare gli sforzi per attrarre nuovi sviluppatori e liquidità sulla rete.
SecondFi non ha ancora comunicato nessun piano di rimborso né una tempistica per il recupero dei fondi. La revisione tecnica in corso stabilirà se vi siano fondi recuperabili e quali modifiche siano necessarie all’infrastruttura wallet prima di poter riprendere le attività in sicurezza.
