EMURGO acte l'arrêt définitif de SecondFi, portefeuille Cardano piraté
Résumé du marché par IA
EMURGO a déclaré que SecondFi, un important fournisseur de portefeuille Cardano, ne reprendra pas ses activités après un piratage qui a drainé ~16M ADA depuis 374 adresses, et a averti que les clés compromises doivent être considérées comme définitivement exposées. Alors que des audits, des correctifs et des outils de migration sont en cours, la fermeture ainsi que le processus de reprise renforcent les perceptions de risques opérationnels et de conservation autour de l'infrastructure des portefeuilles de Cardano, ce qui pourrait peser sur le sentiment à court terme et sur l'activité on-chain.
Niveau d'impact
● Moyen
Actifs concernés
ADA/USDT-3.00%
Infos de l'IA · ADA/USDTInfos de l'IA
▼ Baissier
Trader maintenant
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
EMURGO, entité fondatrice de Cardano à l'origine de SecondFi, a annoncé lundi que le service de portefeuille compromis ne reprendra pas ses opérations normales, même une fois les audits de sécurité en cours achevés. Dans un message publié sur son compte officiel X, le groupe a demandé à l'ensemble des utilisateurs de migrer hors de la solution via la procédure officielle de récupération.
« Bien que nous estimions que les utilisateurs non affectés restent en sécurité, SecondFi ne reprendra pas ses opérations normales, même après la fin des audits », a indiqué EMURGO. À l'avenir, son implication dans SecondFi se limitera à « une équipe dédiée à la récupération d'actifs, chargée uniquement de restituer les actifs aux utilisateurs affectés ».
SecondFi, nouvelle marque du portefeuille Yoroi et présenté par EMURGO comme « le plus grand fournisseur de portefeuilles de Cardano », a été touché par quatre incidents distincts de vidage de portefeuilles, détectés le 22 juin. Selon le rapport d'incident d'EMURGO daté du 25 juin, 374 adresses ont été compromises, pour un total d'environ 16 millions d'ADA, soit près de 2,4 millions de dollars à ce moment-là. L'équipe indique par ailleurs avoir sécurisé séparément environ 129 millions d'ADA via des mesures d'urgence.
EMURGO précise que les portefeuilles compromis doivent être considérés comme durablement exposés, au niveau de l'adresse et de la clé privée. Restaurer une phrase de récupération affectée dans un autre portefeuille ne supprime donc pas le risque.
Côté remédiation, EMURGO dit avoir mandaté plusieurs cabinets indépendants pour analyser l'incident et le code, et avoir soumis un correctif visant à fermer la vulnérabilité identifiée, les investigations se poursuivant. Le groupe prévoit de lancer cette semaine, sous réserve d'approbation par les app stores, un outil de vérification du statut « en quarantaine », puis un outil d'export sécurisé pour migrer les fonds vers un portefeuille matériel ou une autre plateforme. Un atelier de migration en présentiel est également annoncé à Tokyo.
Un fonds de restauration doit être intégré à un dispositif de récupération on-chain, que l'entreprise indique devoir encore faire auditer par un tiers avant de pouvoir restituer les actifs aux utilisateurs concernés. EMURGO affirme qu'un compte rendu complet, détaillant les responsables et les causes, sera publié une fois les rapports d'incident et les revues de code finalisés.