Câteva sute de portofele Cardano s-au trezit goale într-o singură noapte, fără ca proprietarii lor să fi apăsat vreun buton greșit, fără să fi dat clic pe vreun link suspect și fără să fi predat nimănui fraza secretă. Pe 23 iunie 2026, platforma SecondFi, fostul portofel Yoroi, a recunoscut public că o vulnerabilitate din propriul software de generare a portofelelor a permis unor atacatori să scoată în jur de 16 milioane de ADA, adică aproximativ 2,4 milioane de dolari la cursul de atunci.
Pentru cei 374 de utilizatori loviți, suma în dolari a contat mai puțin decât faptul sec că banii lor dispăruseră dintr-un instrument despre care li se spusese că le aparține numai lor.
Partea cu adevărat tulburătoare a fost că rețeaua Cardano nu a fost spartă. Protocolul a funcționat impecabil tot timpul, iar ceea ce cedase era exact stratul în care utilizatorul își punea cea mai multă încredere, partea care îi fabrica cheile și îi semna tranzacțiile. Un portofel construit în jurul ideii de libertate financiară ajunsese, printr-o eroare de cod, cel mai fragil punct al lanțului.
Cum a fost descoperită breșa?
Primele relatări, semnalate de publicații precum Protos, au pornit de la un mesaj scurt publicat de SecondFi pe X în dimineața zilei de 23 iunie. Compania anunța că depistase o problemă de securitate ce atingea un număr mic de portofele și că, din precauție, își trecea serviciile în mentenanță. Câteva ore mai târziu sosea un al doilea mesaj, mult mai sec, care confirma cauza profundă și lăsa să se înțeleagă, printre rânduri, că nu toți utilizatorii vor fi despăgubiți integral.
Investigația care a urmat a scos la iveală o cronologie mai încâlcită decât sugerase comunicarea de la început. Nu a fost un singur atac, ci o serie de valuri automate desfășurate între 21 și 23 iunie. SecondFi a numărat patru episoade de golire, dintre care trei au fost puse pe seama unor actori externi, iar acele trei valuri au strâns cele 16 milioane de ADA și cele 374 de adrese compromise. Au fost identificați doi atacatori diferiți, unul care a golit 171 de portofele în două runde consecutive și altul care a curățat 203 conturi într-o operațiune paralelă.
Cazul a fost documentat pas cu pas de Cryptology.ro, publicația independentă de știri și analize crypto în limba română, unde jurnalistul Mihai Popa a reconstituit cronologia și a arătat de ce, pentru cititorul care urmărește îndeaproape preț monede virtuale și securitatea on-chain, acest incident cântărește mai mult decât arată cifra brută din titlu.
De ce rețeaua Cardano nu a fost spartă?
Una dintre cele mai importante distincții ale poveștii ține de ceea ce nu s-a întâmplat. Protocolul de bază a mers normal, blocurile s-au produs ca de obicei, iar mecanismul de consens nu a fost niciun moment în pericol. Defectul a stat exclusiv în software-ul proprietar al SecondFi, în partea care se ocupă de generarea portofelelor și de crearea cheilor private.
Un blockchain are mai multe straturi. La bază se află protocolul, adică regulile matematice și criptografice care stabilesc cum se înregistrează tranzacțiile și cum ajunge rețeaua la un acord asupra stării conturilor. Deasupra se ridică stratul aplicațiilor, acolo unde trăiesc portofelele, casele de schimb și instrumentele de staking. Un protocol poate fi solid ca o fundație de beton, iar clădirea de deasupra poate avea totuși o ușă lăsată descuiată, exact cum s-a întâmplat aici.
Defectul care a transformat fiecare semnătură într-o cheie
Vulnerabilitatea nu se ascundea într-o parolă furată sau într-un server compromis, ci chiar în matematica prin care portofelul producea semnăturile tranzacțiilor. Orice portofel stă pe o pereche de chei, una publică, în care primești fonduri, și una privată, secretul care dovedește că ai dreptul să le cheltuiești. În spatele perechii se află o cantitate de aleatoriu autentic, suficient cât nimeni să nu poată reconstrui cheia privată pornind de la datele publice.
La SecondFi, problema a fost descrisă ca o eroare în felul în care software-ul deriva un element criptografic numit nonce, un număr care ar trebui folosit o singură dată și ar trebui să fie complet imprevizibil. Când acel număr e produs prost, semnătura nu mai apără cheia privată, ci o trădează.
Un observator priceput putea aduna mai multe semnături publice ale aceleiași adrese și reconstrui matematic cheia stăpânului. Cu alte cuvinte, fiecare tranzacție semnată de un portofel afectat lăsa în urmă destule firimituri cât un program automat să recompună accesul deplin.
Aici se lămurește un amănunt altfel greu de digerat. Atacatorii nu aveau nevoie să spargă nimic în sensul clasic, le ajungea să urmărească activitatea de pe lanț, să găsească adresele vulnerabile și să adune semnăturile lăsate în văzul tuturor. Mai multe analize au remarcat că ei pândeau atent mempool-ul, zona în care tranzacțiile așteaptă confirmarea, ca să lovească fix la momentul potrivit.
Aceeași rădăcină, o cheie de semnătură ajunsă pe mâini străine, a stat și în spatele altui incident recent, atunci când furtul unei chei de semnătură a golit puntea Gravity Bridge de 5,4 milioane de dolari.
De ce mutarea frazei de recuperare nu rezolvă nimic
În aproape orice incident obișnuit, primul sfat dat oamenilor este să-și mute fondurile într-un portofel nou. De data asta, reflexul putea face mai mult rău decât bine. SecondFi a avertizat că restaurarea frazei de recuperare într-un alt portofel Cardano nu oprește vulnerabilitatea, fiindcă defectul nu ține de aplicația în care folosești cheia, ci de modul în care a fost creată acea cheie de la bun început.
O cheie născută cu un defect matematic rămâne defectă oriunde ai duce-o, iar o frază de recuperare nu e altceva decât chipul citibil al aceleiași chei. Mutând-o, utilizatorul nu primește o cheie nouă, ci doar o haină nouă pe aceeași cheie compromisă.
Mai mult, orice tranzacție proaspătă semnată de adresa afectată putea declanșa automat o nouă golire, fiindcă tocmai actul semnării scotea secretul la suprafață. De aceea echipa a recomandat utilizatorilor loviți să se abțină de la orice mișcare independentă a fondurilor, inclusiv de la retragerea recompenselor de staking.
Cifre confirmate și estimări mult mai mari
SecondFi a comunicat oficial pierderi de circa 16 milioane de ADA, răspândite pe 374 de adrese, în urma celor trei valuri externe. Firma de securitate SlowMist vede însă lucrurile mult mai sumbru. Fondatorul ei, cunoscut public drept Cos, a estimat că pierderile totale ar putea trece de 20 de milioane de dolari, cu până la 129 de milioane de ADA și alte tokenuri prinse la mijloc.
Decalajul dintre cifre nu e neapărat o contradicție, ci poate ascunde ceva și mai îngrijorător. Multe portofele compromise s-ar putea să nu fi fost golite încă, dar să rămână vulnerabile, ca niște uși descuiate prin care nimeni nu a intrat deocamdată.
O analiză independentă pe lanț semnată de Bitquery a numărat chiar 3.072 de portofele victimă și aproape 141,9 milioane de ADA puse în mișcare, vizibil peste totalurile oficiale. Adevărul exact al pierderii rămâne în ceață până la un audit independent care să împace estimările.
Salvarea fondurilor și promisiunea despăgubirilor
Nu toată povestea e despre pierdere. În timpul atacului, înainte ca scripturile automate să ajungă la o sumă uriașă, SecondFi a mutat aproape 129 de milioane de ADA către un custode terț, independent și calificat, iar o firmă externă de contabilitate a fost chemată să confirme existența sumelor. Analiza Bitquery observă că acei bani stau deocamdată înghețați la vedere într-o singură adresă, neatinși de la prânzul zilei de 23 iunie.
Pentru utilizatorii ale căror portofele au fost golite, SecondFi a anunțat un fond dedicat de restituire și un proces de revendicare bazat pe verificare. EMURGO, entitatea din spatele produsului și una dintre fondatoarele Cardano, a dat semnale că vrea să despăgubească integral utilizatorii, deși la momentul respectiv nu fusese comunicat niciun calendar ferm al plăților.
Tot redacția Cryptology.ro a subliniat, prin vocea analistului Mihai Popa, că proveniența instituțională a produsului schimbă complet greutatea poveștii.
SecondFi nu e o unealtă obscură, ci fostul Yoroi, unul dintre cele mai folosite portofele light din ecosistemul Cardano, recomandat oficial și folosit de peste un milion de oameni. Când un nume cu autoritate dă greș, încrederea pierdută se reclădește mult mai anevoios, fiindcă utilizatorul nu mai poate spune că a fost imprudent, ci că a ales fix ceea ce i s-a recomandat.
Reacția lui Hoskinson și presiunea pe prețul ADA
Charles Hoskinson, una dintre figurile fondatoare ale Cardano, a recunoscut incidentul, dar a încercat să-l așeze într-o ramă mai largă, observând că suma în dolari era modestă față de alte spargeri mari din lumea criptomonedelor. A admis totuși că o asemenea comparație nu consolează pe nimeni dintre cei care au pierdut tot. Durerea unui om nu se măsoară prin raportare la pierderile altora, ci prin raportare la ce avea și nu mai are.
Pe piață, vestea a picat într-un moment oricum delicat. Ea a prins ADA în jurul valorii de 0,15 dolari, cel mai scăzut nivel din 2020, și a adăugat presiune peste un preț deja sub asediu. Pe deasupra, breșa a ieșit la lumină chiar a doua zi după lansarea unei rețele de test importante din foaia de parcurs a Cardano, o sincronizare nefericită pentru eforturile de a atrage dezvoltatori și lichiditate într-o perioadă fragilă.
Un tipar pe care industria îl repetă
Incidentul SecondFi nu pică din senin, ci se așază într-un șir lung de eșecuri care împart aceeași rădăcină, generarea ori păstrarea proastă a cheilor. Criptografia modernă se sprijină pe presupunerea că anumite numere sunt cu adevărat imprevizibile, iar când acel aleatoriu se subțiază, apare un tipar pe care cineva îl va studia mai devreme sau mai târziu.
De câte ori s-a întâmplat, paguba a tins să supraviețuiască momentului inițial, fiindcă o cheie scursă nu mai poate fi cu adevărat securizată, spre deosebire de o parolă pe care o schimbi într-o clipă.
Ultimele luni au oferit destule exemple din aceeași familie. Un virus numit TrapDoor a furat portofele crypto direct din calculatoarele dezvoltatorilor, un atac de 10 milioane de dolari a lovit THORChain și a declanșat un răspuns de urgență la nivelul întregii rețele, iar Google a avertizat că peste 200 de milioane de portofele crypto de pe iPhone erau expuse unui exploit activ.
Pe un alt palier, stablecoinul USR de la Resolv Labs s-a prăbușit cu 80% după un exploit de 25 de milioane de dolari, semn că vulnerabilitatea unei singure componente se poate revărsa rapid în prețul vizibil al tuturor. Tehnologia diferă de la caz la caz, însă resortul rămâne surprinzător de asemănător.
Ce ar trebui să facă acum utilizatorii afectați
Pentru oamenii prinși în mijlocul incidentului, sfaturile practice cântăresc mai mult decât orice analiză tehnică. Primul instinct, acela de a importa fraza de recuperare în alt portofel și de a fugi cu banii, este exact mișcarea pe care SecondFi a cerut să fie evitată. Cât timp platforma nu a oferit o instrucțiune oficială și validată, orice tranzacție semnată de o adresă vulnerabilă riscă să expună din nou cheia.
Orice breșă de felul acesta atrage și o a doua generație de prădători, cei care mizează pe panică. În zilele de după incident răsar conturi false și formulare de despăgubire frauduloase care promit recuperarea instantanee a banilor în schimbul frazei de recuperare.
Regula de aur rămâne neclintită, fiindcă nicio entitate legitimă nu îți va cere vreodată fraza de recuperare ca să-ți întoarcă banii. Singurele surse de încredere sunt canalele oficiale și verificate ale platformei și ale entității din spatele ei, restul fiind, aproape sigur, o a doua tentativă de furt.
Pentru oricine își ține singur cheile, pe orice lanț, lecția rămâne aceeași și incomodă. Autocustodia mută responsabilitatea pe umerii utilizatorului, dar nu îl scutește niciodată de calitatea uneltelor pe care alege să se sprijine. Un portofel e, la urma urmei, atât de sigur pe cât e codul care îi naște cheile, iar despre codul acela cei mai mulți oameni nu vor ști nimic până în clipa în care cedează.
Intrebari frecvente
Ce s-a întâmplat cu portofelele Cardano de pe SecondFi?
Pe 23 iunie 2026, SecondFi a confirmat o breșă în softul propriu de generare a portofelelor. Atacatorii au golit aproximativ 16 milioane de ADA, în jur de 2,4 milioane de dolari, din 374 de portofele, în trei valuri automate desfășurate între 21 și 23 iunie.
A fost spartă rețeaua Cardano?
Nu. Protocolul Cardano a funcționat normal pe tot parcursul incidentului. Defectul a fost localizat exclusiv în software-ul aplicației SecondFi, mai exact în partea care genera cheile și semna tranzacțiile, nu în blockchainul propriu-zis.
Cât s-a pierdut de fapt?
Pierderea confirmată oficial de SecondFi este de circa 16 milioane de ADA. Firma de securitate SlowMist estimează însă o expunere totală mult mai mare, de până la 129 de milioane de ADA, peste 20 de milioane de dolari, ceea ce sugerează că multe portofele compromise ar putea fi vulnerabile fără să fi fost încă golite.
De ce nu ajută mutarea frazei de recuperare în alt portofel?
Pentru că defectul ține de modul în care a fost creată cheia, nu de aplicația în care o folosești. O cheie generată cu o eroare matematică rămâne vulnerabilă oriunde ar fi importată, iar fraza de recuperare este doar o reprezentare a aceleiași chei.
Ce ar trebui să facă un utilizator afectat?
Să evite orice transfer independent de fonduri și retragerea recompenselor de staking, să nu-și restaureze fraza de recuperare în alte portofele Cardano și să urmărească exclusiv anunțurile și procesul de revendicare din canalele oficiale SecondFi. Nicio entitate legitimă nu cere fraza de recuperare pentru a returna bani.
Cine este SecondFi și ce legătură are cu Yoroi?
SecondFi este noul nume al portofelului Yoroi, unul dintre cele mai folosite portofele light din ecosistemul Cardano. Rebrandingul a avut loc în aprilie 2026, iar produsul este dezvoltat de EMURGO, una dintre entitățile fondatoare ale Cardano.
Vor fi despăgubiți utilizatorii afectați?
SecondFi a anunțat un fond de restituire și un proces de revendicare, iar EMURGO a transmis intenția de a despăgubi integral utilizatorii. La momentul publicării nu fusese comunicat un calendar ferm al despăgubirilor.
