SecondFi Recovery Clock: วิธีที่บั๊กของกระเป๋าเงิน Cardano กลายเป็นเรื่องราวด้านความปลอดภัยของ Seed Phrase

ลองนึกภาพนี้ คุณตื่นนอน เปิดกระเป๋าเงิน Cardano และยอดเงินที่คุณเช็คเมื่อคืนหายไป ไม่ใช่การโจมตีแบบ dust ไม่ใช่การคลิกผิด แค่ว่างเปล่า นั่นคือความเป็นจริงสำหรับผู้ใช้ SecondFi หลายร้อยคนในช่วงวันหยุดสุดสัปดาห์ยาวนานในเดือนมิถุนายน

กลางสัปดาห์ บั๊กในการสร้างกระเป๋าเงินได้กลายเป็นเรื่องที่ใหญ่กว่า: เรื่องราวความปลอดภัยของ seed phrase ผู้คนคิดว่าการนำเข้า phrase ของตนไปยังแอปอื่นจะช่วยได้ แต่ไม่ได้ผล ความเสี่ยงอยู่ที่ระดับที่อยู่ และกลับมาทันทีที่ที่อยู่ที่ได้รับผลกระทบลงนามในสิ่งใด

SecondFi และ EMURGO เข้าสู่โหมดการจัดการเหตุฉุกเฉิน ข้อมูลบนเชนเริ่มวาดภาพที่ชัดเจนขึ้น และนาฬิกาการกู้คืนก็เริ่มเดิน

SecondFi เปิดเผยช่องโหว่ในการสร้างกระเป๋าเงิน Cardano หลังจากการถ่ายโอนแบบประสานงานระหว่างวันที่ 21 ถึง 23 มิถุนายน 2026 การนับครั้งแรกชี้ให้เห็นว่ามี ADA ประมาณ 16 ล้านถูกนำออกจาก 374 ที่อยู่ผ่านการถ่ายโอนหลักสามครั้ง ตามรายงานเบื้องต้นของ CoinDesk นั่นเป็นการสำรวจครั้งแรก การพิสูจน์หลักฐานได้ขยายขอบเขตให้กว้างขึ้น

การสร้างใหม่ของ Bitquery ระบุสองคลื่นและที่อยู่การรวบรวมขนาดใหญ่ โดย vault คลื่นที่สองมี ADA 129,430,001 ภายในวันที่ 23 มิถุนายน งานของพวกเขายังบันทึกกระเป๋าเงินเหยื่อประมาณ 3,072 ใบที่ถูกกวาดในทั้งสองคลื่น ซึ่งมากกว่าการประมาณการแรกของที่อยู่ที่ได้รับผลกระทบมาก ดูการเขียนบนเชนจาก Bitquery

นี่คือประเด็นสำคัญจากทั้ง Bitquery และ SecondFi: ข้อบกพร่องอยู่ที่ระดับที่อยู่ การนำเข้า recovery phrase ที่ได้รับผลกระทบไปยังกระเป๋าเงิน Cardano อื่นไม่ได้ขจัดความเสี่ยง ความเสี่ยงปรากฏขึ้นเมื่อที่อยู่ที่ได้รับผลกระทบลงนามในธุรกรรมใดๆ ในเวลาใดก็ตาม ตามคำเตือนร่วมที่บันทึกในรายงานของ Bitquery และการอัปเดตของ SecondFi (Bitquery / SecondFi)

สิ่งที่เกิดขึ้นจริงกับกระเป๋าเงินของ SecondFi

SecondFi ได้อ้างถึงช่องโหว่ในการสร้างกระเป๋าเงิน ซึ่งชี้ให้เห็นปัญหาเกี่ยวกับวิธีที่ที่อยู่หรือคีย์ถูกสร้าง จัดเก็บ หรือใช้ระหว่างการลงนาม เราไม่จำเป็นต้องรู้โค้ดทุกบรรทัดเพื่อทำความเข้าใจขอบเขตความเสียหาย: หากที่อยู่ที่สร้างขึ้นในกระบวนการนั้นมีข้อบกพร่อง private key ที่ปกป้องมันก็ไม่ปลอดภัยอย่างน่าเชื่อถือ การใช้งานในภายหลัง ที่ใดก็ตาม อาจทำให้เงินถูกเปิดเผยได้

ความล้มเหลวระดับที่อยู่ vs ระดับ seed

ความล้มเหลวระดับ seed จะทำให้ทุกบัญชีที่สร้างจาก phrase เสียหาย ความล้มเหลวระดับที่อยู่อาจแอบซ่อนกว่า คุณอาจมีที่อยู่หนึ่งหรือมากกว่านั้นที่สร้างขึ้นในสภาวะที่ไม่ปลอดภัย ในขณะที่ที่อยู่อื่นๆ ภายใต้ seed เดียวกันดูเหมือนจะดี แต่ทันทีที่ที่อยู่ที่ถูกโจมตีเหล่านั้นลงนามในธุรกรรม คุณเสี่ยงต่อการถูกกวาด

นี่คือเหตุผลที่คำแนะนำอย่างเป็นทางการมีความเฉพาะเจาะจงมาก Bitquery และ SecondFi ต่างเตือนว่าการนำเข้า phrase ของคุณเข้าสู่กระเป๋าเงินอื่นอีกครั้งเพียงอย่างเดียวไม่ได้ทำให้ปัญหาหมดไป ช่องโหว่อยู่ที่ประวัติที่อยู่และเส้นทางลายเซ็น ไม่ใช่อินเทอร์เฟซผู้ใช้ (Bitquery / SecondFi)

แล้วผู้ใช้จะทำอะไรได้บ้าง?

หากคุณใช้ SecondFi และคิดว่าคุณได้รับผลกระทบ ท่าทางที่ปลอดภัยที่สุดคือหยุดโต้ตอบกับที่อยู่ใดๆ ที่สร้างขึ้นในช่วงเวลาที่มีความเสี่ยง อย่าลงนามจากที่อยู่เหล่านั้น อย่าทดสอบด้วยจำนวนเล็กน้อย ปฏิบัติต่อพวกมันเหมือนเป็น hot จนกว่าจะพิสูจน์ได้เป็นอย่างอื่นโดยกระบวนการพิสูจน์หลักฐานและแผนการกู้คืนของผู้ขาย

1. หยุดกิจกรรมทั้งหมดจากที่อยู่ที่อาจได้รับผลกระทบ อย่าลงนามในสิ่งใดจากที่อยู่เหล่านั้น
2. สร้างกระเป๋าเงิน Cardano ใหม่ทั้งหมดโดยใช้เส้นทางที่เชื่อถือได้และ seed phrase ใหม่ที่คุณไม่เคยใช้มาก่อน
3. รอกระบวนการกู้คืนของ SecondFi และ EMURGO หากเงินของคุณถูกถ่ายโอนไปแล้ว หากคุณยังมี ADA อยู่ในที่อยู่ที่คุณสงสัยว่าได้รับผลกระทบ ให้ขอคำแนะนำเฉพาะจากผู้ขายก่อนที่จะย้าย การกระทำของการลงนามอาจเป็นตัวกระตุ้น
4. บันทึก seed phrase ใหม่ของคุณแบบออฟไลน์ อย่านำเข้าไปยังหลายที่ เก็บให้แยกออกจากสภาพแวดล้อมเก่าที่อาจมีความเสี่ยง

ไม่มีปุ่มวิเศษที่นี่ มันคือท่าทาง ความอดทน และสุขอนามัยในการปฏิบัติงานที่สะอาด

การถ่ายโอนเกิดขึ้นบนเชนอย่างไร

เรามีเรื่องเดียวกันสองเวอร์ชัน: ภาพรวมเบื้องต้นและภาพโมเสกเต็มรูปแบบหลังจากผู้สืบสวนติดตามการไหลเวียน

ตัวเลขที่เปลี่ยนแปลงไปเมื่อภาพชัดเจนขึ้น

การนับการสูญเสียครั้งแรกมุ่งเน้นที่ ADA 16 ล้านในที่อยู่ 374 แห่งในสามการถ่ายโอน (CoinDesk) การผ่านที่ลึกกว่าของ Bitquery ทำแผนที่สองคลื่นหลักและระบุที่อยู่การรวบรวมขนาดใหญ่ที่มี ADA 129,430,001 ภายในวันที่ 23 มิถุนายน บวกกับการนับกระเป๋าเงินที่ได้รับผลกระทบที่สูงกว่ามาก ประมาณ 3,072 ในทั้งสองคลื่น (Bitquery) ยอดรวมเหล่านั้นครอบคลุมการติดตามที่เกินการบัญชีพื้นผิวแรกสุด

ไทม์ไลน์สั้นจากการเปิดเผยจนถึงการวางแผนกู้คืน

วันที่ (2026) เหตุการณ์ แหล่งที่มา 21–23 มิถุนายน เหตุการณ์การถ่ายโอนแบบประสานงานที่เชื่อมโยงกับข้อบกพร่องในการสร้างกระเป๋าเงิน; สังเกตเห็นการกวาดหลายครั้ง CoinDesk, Bitquery 24 มิถุนายน ภาพบนเชนที่กว้างขึ้นปรากฏขึ้น; vault คลื่นที่สองแสดง ~129.43M ADA; ระบุเหยื่อ ~3,072 รายในทั้งสองคลื่น Bitquery 26 มิถุนายน EMURGO/SecondFi เสร็จสิ้นการพิสูจน์หลักฐานและถ่ายภาพยอดคงเหลือสุดท้ายเพื่อยึดการกู้คืน The Block 27 มิถุนายน เผยแพร่แผนโรดแมปการกู้คืน โดยมุ่งหมายที่จะเริ่มคืนเงินในประมาณสองสัปดาห์ The Block

ใครบ้างที่อยู่ในขอบเขตความเสียหาย?

หากคุณสงสัยว่าทำไมถึงมี 374 ที่อยู่และเหยื่อ ~3,072 รายในรายงาน มันขึ้นอยู่กับขอบเขตและเวลา การนับครั้งแรกมักมุ่งเน้นที่กลุ่มที่เชื่อมโยงชัดเจนกลุ่มแรก การพิสูจน์หลักฐานในภายหลังรวมเส้นทางรองและการรวบรวม ที่อยู่ กระเป๋าเงิน และผู้ใช้ไม่ได้เป็นแบบหนึ่งต่อหนึ่ง ผู้ใช้หลายรายมีที่อยู่หลายแห่ง และการจัดกลุ่มการโจมตีอาจทำให้เส้นแบ่งเลือนลาง ปฏิบัติต่อตัวเลขทั้งสองว่าเป็นส่วนหนึ่งของแผนที่ที่กำลังคลี่ออก ไม่ใช่ข้อขัดแย้ง

ทำไมความปลอดภัยของ Seed Phrase จึงได้รับความสนใจ

ส่วนที่ขัดกับสัญชาตญาณที่สุดของเรื่องนี้คือการเปลี่ยนแอปกระเป๋าเงินไม่สามารถแก้ไขอดีตที่ไม่ดีได้ หากที่อยู่ถูกสร้างขึ้นจากกระบวนการที่มีข้อบกพร่อง อันตรายก็ติดตามไปด้วย คุณสามารถติดตั้งซอฟต์แวร์ที่ผ่านการตรวจสอบมากที่สุดในโลก หากคุณนำเข้า phrase เดิม แล้วลงนามจากที่อยู่ที่ถูกโจมตีก่อนหน้านี้ คุณอาจกลับมาอยู่ในโซนอันตราย นี่คือหัวใจของคำเตือน SecondFi ที่บันทึกในรายงาน Bitquery (Bitquery / SecondFi)

ความปลอดภัยมีลักษณะอย่างไรจากนี้

คิดเป็นชั้นๆ การเลือกกระเป๋าเงินของคุณมีความสำคัญ แน่นอน แต่การปฏิบัติงานของคุณมีความสำคัญมากกว่า เมื่อคุณสงสัยว่ามีความเสี่ยง คุณหมุนเวียน

การกระทำ สิ่งที่แก้ไข ข้อแม้ สร้างกระเป๋าเงินใหม่ทั้งหมดด้วย seed phrase ใหม่ แยกกิจกรรมในอนาคตออกจากความเสี่ยงของที่อยู่ในอดีต ไม่สามารถกู้คืนการสูญเสียในอดีตได้; ปฏิบัติตามขั้นตอนการกู้คืนของผู้ขาย หลีกเลี่ยงการนำเข้า phrase เก่าเข้าสู่แอปใหม่ ป้องกันการเปิดใช้งานที่อยู่ที่ถูกโจมตีในอินเทอร์เฟซอื่น ไม่สะดวก แต่ปลอดภัยกว่าหลังจากสงสัยว่ามีปัญหาระดับที่อยู่ เก็บ seed phrase แบบออฟไลน์และเป็นเอกเทศ ลดโอกาสของการรั่วไหลจากหลายแอปและฟิชชิ่ง ต้องการการจัดเก็บและสำรองข้อมูลอย่างมีวินัย ติดตามประกาศการกู้คืนอย่างเป็นทางการเท่านั้น ช่วยหลีกเลี่ยงพอร์ทัลปลอมและแบบฟอร์มขอคืนเงินปลอม นักหลอกลวงจะแอบอ้างชื่อแบรนด์ระหว่างเหตุการณ์

สรุปแล้ว สุขอนามัย seed phrase ไม่ใช่แค่การเขียนคำลงบนกระดาษ มันคือวิธี ที่ไหน และเมื่อไหรที่คุณนำมันมาใช้ซ้ำ ในเหตุการณ์เช่นนี้ การนำมาใช้ซ้ำอาจเป็นกับดักที่ซ่อนอยู่

ภายในนาฬิกาการกู้คืน: ภาพรวม เกณฑ์ การจ่ายเงิน

หลังจากที่ฝุ่นตลบ EMURGO และ SecondFi กล่าวว่าพวกเขาเสร็จสิ้นงานพิสูจน์หลักฐานและถ่ายภาพยอดคงเหลือสุดท้ายในวันที่ 26 มิถุนายน 2026 โรดแมปสาธารณะมุ่งหมายที่จะเริ่มคืนเงินในประมาณสองสัปดาห์ หนึ่งสัปดาห์เพื่อสร้างกลไกการกู้คืน หนึ่งสัปดาห์เพื่อทดสอบตั้งแต่ต้นจนจบ ตามรายงานของ The Block

สิ่งที่น่าจะหมายถึงในทางปฏิบัติ

1. แช่แข็งภาพ ใช้ภาพรวมวันที่ 26 มิถุนายนเป็นบัญชีแยกประเภทสุดท้ายของยอดคงเหลือที่ได้รับผลกระทบ
2. แมปการเรียกร้องกับที่อยู่ เชื่อมโยงที่อยู่ที่ได้รับผลกระทบแต่ละแห่งและยอดคงเหลือกับผู้เรียกร้องด้วยหลักฐานที่แข็งแกร่ง
3. สร้างและทดสอบกลไกการจ่ายเงินที่ควบคุมได้ ลดการลงนามใหม่จากเส้นทางที่ถูกโจมตี
4. เผยแพร่เป็นชุด เริ่มด้วยกลุ่มเล็กเพื่อตรวจสอบสมมติฐาน แล้วขยาย
5. เผยแพร่เกณฑ์คุณสมบัติที่ชัดเจนและช่องทางการโต้แย้ง คาดหวังกรณีพิเศษและ UTXO ที่หลงเหลือ

ข้อแม้สำคัญ: ผู้ขายไม่เสมอเปิดเผยรายละเอียดการจ่ายเงินที่แน่นอนล่วงหน้าด้วยเหตุผลด้านความปลอดภัย วันที่สำคัญสำหรับผู้ใช้ที่นี่คือภาพรวมและหน้าต่างการสร้างและทดสอบสองสัปดาห์ หากคุณเป็นผู้เรียกร้อง ให้เก็บเอกสารของคุณให้รัดกุมและปฏิบัติตามคำแนะนำที่โพสต์บนช่องทางอย่างเป็นทางการเท่านั้น

ความหมายสำหรับการออกแบบกระเป๋าเงิน Cardano

เหตุการณ์เช่นนี้ตั้งคำถามที่ยากต่อระบบนิเวศใดก็ตาม บทเรียนบางอย่างน่าจะกำหนดรูปแบบการพัฒนากระเป๋าเงิน Cardano ในไตรมาสข้างหน้า

Determinism ต้องการการตรวจสอบ ไม่ใช่แค่มาตรฐาน

มาตรฐานเพียงอย่างเดียวไม่เพียงพอ ทีมงานต้องการการสร้างที่ทำซ้ำได้ เวกเตอร์ทดสอบอิสระ และการตรวจสอบที่อยู่ข้ามการใช้งาน เพื่อให้ seed เดียวกันให้เส้นทางที่ปลอดภัยเดียวกันในทุก client หากหนึ่ง client เบี่ยงเบนอย่างเงียบๆ ผู้ใช้จะรับความเสี่ยงนั้นโดยไม่รู้ตัว

หลักฐานความปลอดภัยเป็นกระบวนการ ไม่ใช่เหรียญตรา

รายงานการตรวจสอบช่วยได้ แต่มันเป็นภาพรวม กระเป๋าเงินพัฒนาทุกเดือน แหล่ง entropy ที่ปลอดภัย การแยก key-path และการสร้างแบบจำลองภัยคุกคามจำเป็นต้องถูกฝังไว้ในรอบการเผยแพร่ ผู้ขายที่ดีเชิญการทดสอบการถดถอยและทำให้ง่ายต่อการตรวจสอบ derivation ข้ามเครื่องมือก่อนที่เงินจริงจะสัมผัสที่อยู่

การควบคุมของผู้ใช้ที่ลดขอบเขตความเสียหาย

ผู้ใช้ได้รับประโยชน์จากการควบคุมที่เบา: คำเตือนการลงนามต่อบัญชี แรงเสียดทานเมื่อนำที่อยู่เก่ามาใช้ซ้ำ และป้ายกำกับที่ชัดเจนสำหรับบัญชีที่สร้างขึ้นภายใต้เวอร์ชันเก่าที่อาจได้รับผลกระทบ ไม่มีสิ่งใดที่น่าตื่นเต้น แต่มันเปลี่ยนความเสี่ยงที่มองไม่เห็นให้เป็นการเลือกอย่างชัดเจน

ความเสี่ยง & สิ่งที่อาจผิดพลาด

• คลื่นฟิชชิ่ง ผู้โจมตีจะแอบอ้างพอร์ทัลคืนเงินและเครื่องมือเรียกร้องเพื่อดักจับ seed ใหม่หรือลายเซ็น
• ผลบวกหรือลบเทียมในภาพรวม การเรียกร้องที่ถูกต้องบางส่วนอาจถูกพลาดและต้องการการตรวจสอบด้วยตนเอง
• การลงนามซ้ำจากที่อยู่ที่ถูกโจมตี ผู้ใช้อาจพยายามย้ายเงินและกระตุ้นการถ่ายโอนใหม่
• ช่องว่างเวลา สองสัปดาห์อาจล่าช้าหากกรณีพิเศษสะสมในการทดสอบ
• ความผันผวนของตลาด หากเงินคืนเป็น ADA ความผันผวนของราคาอาจทำให้มูลค่าการกู้คืนที่รับรู้ซับซ้อนขึ้น
• การประสานงานทางกฎหมาย ความแตกต่างทางเขตอำนาจศาลอาจทำให้การสื่อสารหรือการบังคับใช้กับการไหลเวียนที่ทราบช้าลง

หากคุณต้องการการรายงานที่สม่ำเสมอโดยไม่มีสัญญาณรบกวน ทีมงานที่ Crypto Daily ได้ติดตามเรื่องราวความปลอดภัยของกระเป๋าเงินเช่นนี้ข้ามเชน มันเป็นแหล่งอ่านที่ดีระหว่างที่คุณรอการอัปเดตอย่างเป็นทางการ

คำถามที่พบบ่อย

การนำเข้า seed ของฉันเข้าสู่กระเป๋าเงิน Cardano อื่นจะแก้ปัญหาได้หรือไม่?

ไม่ Bitquery และ SecondFi เน้นว่าข้อบกพร่องอยู่ที่ระดับที่อยู่ หากที่อยู่ที่ถูกโจมตีลงนามในธุรกรรมที่ใดก็ตาม ความเสี่ยงอาจปรากฏขึ้นอีกครั้ง การเปลี่ยนแอปเพียงอย่างเดียวไม่ทำให้มันเป็นกลาง (Bitquery / SecondFi)

ADA จำนวนเท่าใดที่มีความเสี่ยงจริงๆ?

รายงานเบื้องต้นอ้างถึง ADA ประมาณ 16 ล้านที่ถูกถ่ายโอนออกจาก 374 ที่อยู่ (CoinDesk) การพิสูจน์หลักฐานในภายหลังระบุ vault คลื่นที่สองที่มี ADA 129,430,001 และกระเป๋าเงินเหยื่อประมาณ 3,072 ใบในทั้งสองคลื่น (Bitquery) คิดว่า 16 ล้านเป็นการถ่ายโอนที่ยืนยันแล้วในช่วงแรก และ 129.43 ล้านเป็นทรัพย์สินที่รวบรวมที่ทำแผนที่บนเชน

ไทม์ไลน์การกู้คืนคืออะไร?

EMURGO/SecondFi กล่าวว่าพวกเขาเสร็จสิ้นการพิสูจน์หลักฐานและถ่ายภาพยอดคงเหลือสุดท้ายในวันที่ 26 มิถุนายน 2026 จากนั้นมุ่งหมายที่จะเริ่มคืนเงินในประมาณสองสัปดาห์ โดยหนึ่งสัปดาห์เพื่อสร้างและหนึ่งสัปดาห์เพื่อทดสอบกลไก (The Block)

ฉันควรพยายามย้าย ADA ที่เหลืออยู่ด้วยตัวเองหรือไม่?

ระวังให้มาก หากที่อยู่ถูกสร้างขึ้นในสภาวะที่มีช่องโหว่ การลงนามอาจเป็นตัวกระตุ้นความเสี่ยง ปฏิบัติตามคำแนะนำอย่างเป็นทางการจาก SecondFi และ EMURGO เมื่อสงสัย ให้หมุนเวียนไปยังกระเป๋าเงินใหม่ทั้งหมดด้วย seed ใหม่และรอคำแนะนำจากผู้ขาย

ฉันจะตรวจสอบได้อย่างไรว่าที่อยู่ของฉันเป็นส่วนหนึ่งของการกวาดหรือไม่?

ติดตามแดชบอร์ดอย่างเป็นทางการหรือเครื่องมือค้นหาที่ผู้ขายหรือผู้สืบสวนที่มีชื่อเสียงให้ไว้ หลีกเลี่ยงตัวตรวจสอบการเรียกร้องของบุคคลที่สามที่โพสต์บนโซเชียลมีเดีย เมื่อมีเครื่องมือ ควรเชื่อมโยงโดยช่องทางอย่างเป็นทางการ

การใช้ hardware wallet ปกป้องฉันจากบั๊กประเภทนี้ได้หรือไม่?

Hardware ช่วยในการแยก key แต่หากแอปที่มีข้อบกพร่องสร้างชุดที่อยู่เดิม ความเสี่ยงอาจยังคงอยู่ที่ระดับที่อยู่ สำหรับการตั้งค่าใหม่ การสร้าง seed บน hardware wallet ที่เชื่อถือได้จะลดความเสี่ยงในอนาคต

ADA 129.43M ใน vault ที่เรียกกันนั้นจะเกิดอะไรขึ้น?

ผู้สืบสวนติดตามที่อยู่การรวบรวมดังกล่าวเพื่อทำแผนที่การไหลเวียนและทางออกที่เป็นไปได้ การติดตามไม่รับประกันการเรียกคืน มันให้ข้อมูลสำหรับการออกแบบการกู้คืน การมีส่วนร่วมของหน่วยงานบังคับใช้กฎหมาย และการติดตามของ exchange (Bitquery)

ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้น ไม่ได้มีวัตถุประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือคำแนะนำอื่นใด