Le projet SecondFi de l'écosystème Cardano est sous surveillance suite à un incident de sécurité lié à un portefeuille, qui pourrait avoir entraîné des pertes pour les utilisateurs dépassant 20 millions de dollars, selon une analyse indépendante de sécurité blockchain. L'incident a été lié à une vulnérabilité dans le logiciel natif de génération de portefeuilles web Cardano de SecondFi, le projet estimant initialement l'impact à environ 16 millions d'ADA (soit environ 2,4 millions de dollars sur la base du cours récent de l'ADA). Cependant, Cos (Yu Xian), fondateur de SlowMist, a déclaré que l'analyse des flux de fonds on-chain indiquait que les pertes pourraient théoriquement dépasser 20 millions de dollars si certains adresses Cardano liées par leur comportement sont confirmées comme étant contrôlées par l'attaquant, impliquant potentiellement plus de 129 millions d'ADA et d'autres jetons. L'écart entre l'évaluation préliminaire de SecondFi et les estimations indépendantes a intensifié les préoccupations des utilisateurs quant à l'ampleur réelle de la brèche.
SecondFi signale une vulnérabilité du logiciel de génération de portefeuilles
SecondFi a déclaré que l'incident était lié à un problème dans son logiciel natif de génération de portefeuilles web Cardano. Le projet a initialement estimé l'impact à environ 16 millions d'ADA, ce qui impliquerait des pertes d'environ 2,4 millions de dollars avant de prendre en compte d'autres jetons et NFT basés sur Cardano qui pourraient également avoir été affectés. SecondFi a indiqué avoir achevé une analyse on-chain pour déterminer l'étendue de la brèche et travaillait avec une entreprise externe de sécurité blockchain pour un examen technique indépendant. Les rapports sur l'incident indiquent qu'environ 178 portefeuilles pourraient avoir été affectés dans l'évaluation initiale.
L'analyse de SlowMist indique une perte potentielle de 20 millions de dollars
Cos (Yu Xian), fondateur de SlowMist, a déclaré que l'analyse des flux de fonds on-chain indiquait que les pertes pourraient théoriquement dépasser 20 millions de dollars si certains adresses Cardano liées par leur comportement sont confirmées comme étant contrôlées par l'attaquant. Son estimation suggérait que l'incident pourrait impliquer plus de 129 millions d'ADA et d'autres jetons, bien au-dessus de l'évaluation préliminaire de SecondFi. Le large écart entre l'estimation initiale de 16 millions d'ADA de SecondFi et le chiffre potentiel de plus de 20 millions de dollars de SlowMist a fait de cet incident l'un des événements de sécurité de l'écosystème Cardano les plus surveillés de l'année. Cet écart reflète également la difficulté d'évaluer rapidement les exploits liés aux portefeuilles, en particulier lorsque les attaquants peuvent avoir accès à des clés privées ou à des faiblesses dans le processus de génération de portefeuilles.
SecondFi met ses services en mode maintenance
SecondFi a mis ses services en mode maintenance et a suspendu les fonctions concernées après avoir identifié le problème. Le projet n'a pas encore publié d'audit technique final, de plan d'indemnisation complet ou de comptabilité définitive de tous les actifs perdus. Jusqu'à ce que ces détails soient publiés, le montant final des pertes reste incertain. Pour les utilisateurs, la question la plus urgente est de savoir si les portefeuilles créés via le logiciel affecté restent sûrs. Si la vulnérabilité exposait les clés privées ou rendait la génération de portefeuilles prévisible, les utilisateurs concernés pourraient devoir transférer les actifs restants vers des portefeuilles nouvellement créés qui n'ont pas été générés via le processus compromis.
L'incident n'indique pas une compromission de la blockchain Cardano
L'incident n'indique pas une compromission de la blockchain Cardano elle-même, mais soulève des questions sur l'infrastructure au niveau de l'écosystème, en particulier les portefeuilles qui servent d'interface principale entre les utilisateurs et le réseau. En pratique, la plupart des utilisateurs vivent la sécurité de la blockchain à travers les logiciels de portefeuille, la gestion des clés et les outils de signature de transactions, plutôt qu'à travers le protocole de base. Cardano a longtemps mis l'accent sur les méthodes formelles, la sécurité et la fiabilité dans le cadre de son récit d'écosystème.
FAQ
Quelle est la cause de l'incident de sécurité chez SecondFi ?
SecondFi a déclaré que l'incident était lié à une vulnérabilité dans son logiciel natif de génération de portefeuilles web Cardano. Le projet a initialement estimé l'impact à environ 16 millions d'ADA (environ 2,4 millions de dollars) et a indiqué travailler avec une entreprise externe de sécurité blockchain pour un examen technique indépendant.
Combien les utilisateurs ont-ils perdu dans l'incident SecondFi ?
SecondFi a initialement estimé les pertes à environ 16 millions d'ADA (environ 2,4 millions de dollars). Cependant, Cos (Yu Xian), fondateur de SlowMist, a déclaré que l'analyse des flux de fonds on-chain indiquait que les pertes pourraient théoriquement dépasser 20 millions de dollars si certains adresses Cardano liées par leur comportement sont confirmées comme étant contrôlées par l'attaquant, impliquant potentiellement plus de 129 millions d'ADA et d'autres jetons.
Quelles mesures SecondFi a-t-elle prises après l'incident ?
SecondFi a mis ses services en mode maintenance et a suspendu les fonctions concernées après avoir identifié le problème. Le projet a déclaré avoir achevé une analyse on-chain pour déterminer l'étendue de la brèche et travaillait avec une entreprise externe de sécurité blockchain pour un examen technique indépendant. SecondFi n'a pas encore publié d'audit technique final, de plan d'indemnisation complet ou de comptabilité définitive de tous les actifs perdus.
