SecondFi, một dự án trên Cardano (ADA), vừa gặp phải một sự cố bảo mật nghiêm trọng liên quan đến lỗ hổng trong phần mềm tạo ví của chính mình. Ước tính thiệt hại dao động từ 16 triệu ADA đến hơn 129 triệu ADA cùng nhiều token khác bị ảnh hưởng trong các ví bị xâm nhập.
ADA được giao dịch ở mức 0.150237 USD vào ngày 24/06/2024, giảm 3.00% trong vòng 24 giờ qua. Ở mức giá này, ước tính cao nhất của SlowMist về 129 triệu ADA tương đương khoảng 19.4 triệu USD. Người sáng lập SlowMist, Yu Xian, được biết đến với tên Cos, cho rằng tổng số tài sản bị thất thoát có thể vượt quá 20 triệu USD. Ngoài ra, các token không phải ADA lưu trữ trong những ví bị xâm nhập cũng khiến con số này cao hơn so với ước tính của chính SecondFi.
Quá trình vụ hack SecondFi diễn ra như thế nào
Nhóm phát triển SecondFi đã xác định được nguyên nhân là do lỗ hổng trong phần mềm tạo ví độc quyền. Lỗi này đã tạo điều kiện cho kẻ tấn công truy cập vào tài sản của nhiều ví người dùng. Đáng chú ý, nền tảng gốc Cardano không phải là điểm xâm nhập. Dự án cũng đã tiến hành phân tích dữ liệu on-chain để xác định phạm vi các địa chỉ bị ảnh hưởng.
Hiện tại, SecondFi đang phối hợp với một công ty bảo mật blockchain độc lập để thực hiện rà soát kỹ thuật.
Theo ước tính nội bộ, thiệt hại của dự án vào khoảng 16 triệu ADA. Tuy nhiên, qua phân tích của SlowMist dựa trên dòng tiền của hacker và các hoạt động trong ví, con số có thể lớn hơn nhiều. Yu Xian cho rằng đã có hơn 129 triệu ADA và nhiều token khác được chuyển qua các địa chỉ liên quan đến kẻ tấn công.
Sự chênh lệch này cho thấy con số cuối cùng sẽ phụ thuộc đáng kể vào kết quả đánh giá từ đơn vị kiểm tra độc lập.
Sự việc của SecondFi cũng nằm trong xu hướng các vụ tấn công hạ tầng gia tăng trong năm 2026. Đầu tháng này, Humanity Protocol đã bị rò rỉ private key, khiến giá token giảm đến 88% chỉ trong 24 giờ.
Nguyên nhân đều đến từ việc bị lộ tài liệu khóa bí mật. Tương tự, vụ hack cầu nối Syscoin cũng là ví dụ cho thấy các lỗi phần mềm dễ bị bỏ qua trong quá trình kiểm toán bảo mật thông thường. Trong cả hai trường hợp, lỗ hổng đều phát sinh từ công cụ/phần mềm xây dựng trên nền tảng blockchain gốc, chứ không phải xuất phát từ chính giao thức nền tảng.
Áp lực với ADA sau vụ tấn công của SecondFi
Hiện tại ADA đang giao dịch gần mức thấp nhất trong 5 năm. Charles Hoskinson gần đây đã đưa ra kế hoạch giải cứu Cardano, tuy vậy, phần lớn các nhà đầu tư nhỏ lẻ vẫn còn hoài nghi. Vụ bị hack lần này sẽ càng khiến hệ sinh thái Cardano thêm phần căng thẳng.
Hoskinson đã lên tiếng về sự cố SecondFi, cho rằng dù mức thiệt hại lần này nhỏ hơn so với nhiều vụ hack khác trong lĩnh vực crypto, nhưng nỗi đau của những người bị ảnh hưởng vẫn là rất lớn. Ông nhấn mạnh rằng có người có thể đã mất hết toàn bộ ADA của mình — một thực tế đáng buồn của ngành này.
Sự cố xảy ra chỉ một ngày sau khi Cardano ra mắt testnet Leios Musashi Dojo. Những dữ liệu ban đầu về hoạt động mạng của Cardano cho thấy chưa có dấu hiệu cải thiện đáng kể về giao dịch on-chain. Vì vậy, sự việc lần này có thể sẽ khiến việc thu hút nhà phát triển và dòng tiền mới vào Cardano gặp nhiều khó khăn hơn.
SecondFi hiện vẫn chưa công bố kế hoạch bồi thường hay cách khắc phục hậu quả. Kết quả rà soát kỹ thuật sắp tới sẽ xác định liệu có thể thu hồi phần nào tài sản còn lại hay không. Đồng thời, dự án cũng sẽ phải xem xét thay đổi cơ sở hạ tầng ví trước khi có thể hoạt động trở lại một cách an toàn.
