Exploit de portefeuille Cardano : SecondFi retrace l'attaque vers une faille de clé privée, avertit les utilisateurs de ne pas restaurer les phrases de récupération

ambcryptoPublié le 2026-06-25Dernière mise à jour le 2026-06-25

Résumé

SecondFi a identifié la cause de l'exploitation récente ayant ciblé des centaines de portefeuilles Cardano. La vulnérabilité provenait d'un défaut de dérivation déterministe du nonce dans son logiciel de signature, permettant à des attaquants de reconstruire mathématiquement les clés privées à partir des données publiques de la blockchain après que les adresses affectées aient signé des transactions. L'attaque, survenue entre les 21 et 23 juin, a drainé environ 16 millions d'ADA (2,4 millions de dollars) depuis 374 portefeuilles. Deux groupes d'attaquants ont été identifiés. SecondFi avertit les utilisateurs concernés de ne pas restaurer leurs phrases de récupération dans un autre portefeuille, car la compromission persiste au niveau de la clé privée. L'entreprise déconseille également de déplacer des fonds ou de retirer des récompenses de staking, ce qui pourrait exposer à nouveau les actifs. Un programme de récupération est en cours. Environ 129 millions d'ADA ont déjà été sécurisés, et un fonds de restauration a été établi pour rembourser les victimes. La plateforme reste en mode maintenance pendant des audits de sécurité externes.

SecondFi a identifié la cause profonde de l'exploit récent qui a ciblé des centaines de portefeuilles Cardano. L'entreprise a averti les utilisateurs affectés de ne pas restaurer leurs phrases de récupération dans un autre portefeuille, car la compromission se produit au niveau de la clé privée et non de l'application de portefeuille elle-même.

Dans une mise à jour de l'enquête publiée le 2 juin, le fournisseur de portefeuille Cardano a déclaré que l'attaque provenait d'un défaut dans la dérivation déterministe du nonce de son logiciel de signature. Cela a permis aux attaquants de reconstruire mathématiquement les clés privées à partir des données publiquement disponibles sur la blockchain après que les adresses affectées aient signé des transactions.

Ces conclusions interviennent quelques jours après que l'exploit a drainé environ 16 millions d'ADA, d'une valeur d'environ 2,4 millions de dollars. Il a affecté 374 portefeuilles lors de quatre événements distincts de vidage de portefeuilles.

SecondFi affirme qu'un défaut de signature a exposé les clés privées

Selon SecondFi, la vulnérabilité existait au niveau de l'adresse. Cela signifie que les clés compromises restent exposées même si les utilisateurs importent la même phrase de récupération dans un autre portefeuille Cardano.

La société a déclaré que chaque transaction signée par une adresse affectée a divulgué suffisamment d'informations pour que les attaquants puissent dériver la clé privée de cette adresse à partir des données en chaîne.

En conséquence, SecondFi a exhorté les utilisateurs affectés à ne pas migrer leurs phrases de récupération vers un autre portefeuille ni à tenter de déplacer des fonds de manière indépendante. Elle a averti que les adresses compromises pourraient être vidées à nouveau.

Elle a également mis en garde contre le retrait des récompenses de staking, car de telles transactions pourraient exposer les fonds aux attaquants surveillant le mempool.

Au lieu de cela, le fournisseur de portefeuille a conseillé aux utilisateurs affectés d'attendre son processus de récupération officiel tout en soumettant leurs réclamations via son portail de support.

L'effort de récupération entre dans la phase suivante

SecondFi a déclaré avoir terminé la cartographie de tous les portefeuilles affectés lors de l'exploit initial et avoir entamé l'étape suivante de son programme de récupération.

La société a confirmé que 374 adresses de portefeuille ont été impactées, avec environ 16 millions d'ADA compromis. Elle a ajouté que les efforts d'endiguement d'urgence ont déjà sécurisé environ 129 millions d'ADA, qui sont détenus en attente des opérations de récupération.

SecondFi a également établi un fonds de restauration dédié pour indemniser les utilisateurs affectés et a engagé plusieurs entreprises de sécurité externes pour auditer ses systèmes avant de reprendre ses opérations normales.

La plateforme reste en mode maintenance pendant que les revues de sécurité indépendantes se poursuivent.

Les enquêteurs identifient deux groupes d'attaquants

Dans le cadre de sa dernière mise à jour, SecondFi a déclaré avoir identifié et isolé les adresses blockchain associées à deux attaquants responsables des campagnes automatisées de vidage de portefeuilles entre les 21 et 23 juin.

Selon l'enquête, un attaquant a vidé 171 portefeuilles en deux vagues. Simultanément, un second acteur a compromis 203 portefeuilles lors d'un balayage séparé.

La société a également révélé qu'environ 4,02 millions d'ADA liés à l'exploit restent dans un portefeuille de collecte identifié. Le portefeuille a été signalé et reste sous surveillance active.

Résumé final

  • SecondFi a retracé l'exploit du portefeuille Cardano jusqu'à un défaut de dérivation déterministe du nonce qui a permis aux attaquants de reconstruire les clés privées à partir des données publiques de la blockchain.
  • La société a lancé un programme de récupération, identifié deux groupes d'attaquants et averti les utilisateurs affectés de ne pas restaurer les phrases de récupération compromises dans d'autres portefeuilles.

Cryptos en tendance

ctr
CitreaCTR
wstusdt
wrapped stUSDTWSTUSDT
apr
aPrioriAPR
ctx
Cryptex FinanceCTX
audio
AudiusAUDIO
mantra
MantraMANTRA
xvs
VenusXVS
waxl
AxelarWAXL
bill
Billions NetworkBILL
pyth
PYTH (Pyth)PYTH
rune
THORChainRUNE
velodrome
Velodrome FinanceVELODROME
brev
BrevisBREV
zrx
ZRX(0X)ZRX
cake
PancakeSwapCAKE

Questions liées

QQuelle a été la cause profonde de l'exploit ayant ciblé des portefeuilles Cardano, selon l'enquête de SecondFi ?

ALa cause profonde a été un défaut déterministe dans la dérivation du nonce au sein du logiciel signataire de SecondFi. Cela a permis aux attaquants de reconstruire mathématiquement les clés privées à partir des données publiques disponibles sur la blockchain.

QPourquoi SecondFi déconseille-t-il aux utilisateurs affectés de restaurer leur phrase de récupération dans un autre portefeuille ?

AParce que la compromission s'est produite au niveau de la clé privée elle-même, et non de l'application du portefeuille. Cela signifie que l'adresse reste vulnérable même si la phrase de récupération est importée dans un autre portefeuille Cardano.

QQuel est le montant total d'ADA qui a été drainé lors de ces attaques, et combien de portefeuilles ont été touchés ?

AEnviron 16 millions d'ADA (d'une valeur d'environ 2,4 millions de dollars) ont été drainés, affectant un total de 374 adresses de portefeuille.

QCombien de groupes d'attaquants ont été identifiés, et quel a été leur impact respectif ?

ADeux groupes d'attaquants ont été identifiés. Le premier a drainé 171 portefeuilles en deux vagues, et le second a compromis 203 portefeuilles lors d'une opération séparée.

QQuelles sont les principales actions que SecondFi a entreprises dans le cadre de son programme de rétablissement ?

ASecondFi a cartographié tous les portefeuilles affectés, sécurisé environ 129 millions d'ADA dans le cadre d'efforts de confinement, établi un fonds de restauration dédié, et engagé plusieurs sociétés de sécurité externes pour auditer ses systèmes avant de reprendre ses opérations normales.

Lectures associées

Solstice et Tensorx vont acheter pour 1 milliard de dollars d'infrastructures d'IA pour répondre à la demande d'IA souveraine de l'UE

Solstice et TensorX annoncent un partenariat pour financer jusqu'à 1 milliard de dollars d'infrastructure d'IA souveraine dans l'UE. TensorX, opérateur de centres de données en Europe, fournira la capacité de calcul, tandis que Solstice apportera le financement *onchain*. Dans ce cadre, Solstice lancera aiUSX, un actif générateur de rendement permettant aux entreprises d'investir, avec le capital qu'elles réservent déjà pour leurs projets d'IA, dans le prêt à l'infrastructure d'IA. Ce capital reste liquide et les rendements peuvent ensuite servir à payer les futures factures d'inférence. L'initiative vise à répondre à la demande croissante d'une IA européenne fonctionnant sur son propre sol avec une totale souveraineté des données.

TheNewsCryptoIl y a 56 mins

Solstice et Tensorx vont acheter pour 1 milliard de dollars d'infrastructures d'IA pour répondre à la demande d'IA souveraine de l'UE

TheNewsCryptoIl y a 56 mins

Le prix de l'AAVE bondit de 15 % – Les 40,69 millions de dollars de frais de protocole peuvent-ils soutenir la cassure ?

Le prix de l'AAVE a bondi de plus de 15 % après avoir franchi un niveau de résistance persistant. Cette poussée survient alors que le protocole de prêt décentralisé affiche des performances fondamentales solides, ayant généré plus de 40,69 millions de dollars de frais sur le dernier mois et captant plus de la moitié des frais du secteur. L'augmentation de l'activité est notamment attribuée à la croissance des dépôts de l'stablecoin USDT, qui approchent les 3 milliards de dollars sur le marché principal Ethereum d'Aave, signalant une liquidité plus profonde. L'accumulation par les grands portefeuilles et des prévisions optimistes à long terme ont également soutenu l'élan haussier. Techniquement, le prix évolue désormais au-dessus de ses moyennes mobiles clés. La clé pour maintenir la tendance réside dans la capacité des acheteurs à défendre l'ancien niveau de résistance, maintenant transformé en support. Si cette retest est réussie, la dynamique positive pourrait se poursuivre.

ambcryptoIl y a 1 h

Le prix de l'AAVE bondit de 15 % – Les 40,69 millions de dollars de frais de protocole peuvent-ils soutenir la cassure ?

ambcryptoIl y a 1 h

Les Liquidations Tokenisées des Actions SpaceX Montrent que l'Effet de Levier Crypto Gagne les Marchés Privés

L'exposition tokenisée à SpaceX a subi d'importantes liquidations, illustrant comment l'effet de levier propre à la cryptosphère s'étend désormais aux produits sur actions de marchés privés. Cet épisode sert d'avertissement : si les actifs tokenisés permettent un accès décentralisé à des sociétés très demandées comme SpaceX, leur couplage avec un fort levier les fait ressembler à des instruments cryptographiques volatils plutôt qu'à des participations actions à long terme. Le marché des actions tokenisées, récit majeur des actifs du monde réel en crypto, doit donc dépasser la simple tokenisation. Il doit développer une structure de marché claire concernant la garde, la tarification, la divulgation des risques et l'admissibilité des investisseurs. Cet incident met en lumière les risques lorsque des produits présentés comme un "accès" se comportent comme des dérivés à effet de levier, un point qui attirera probablement l'attention des régulateurs. En résumé, cette histoire s'inscrit dans une tendance plus large où la régulation se précise, les produits institutionnels se normalisent et les traders réagissent rapidement aux fluctuations de liquidité. Elle offre un point de données crucial sur l'évolution de l'infrastructure et des risques dans la prochaine phase d'adoption de la cryptographie.

bitcoinistIl y a 1 h

Les Liquidations Tokenisées des Actions SpaceX Montrent que l'Effet de Levier Crypto Gagne les Marchés Privés

bitcoinistIl y a 1 h

La prochaine mise à niveau 'Giga' est-elle le véritable moteur de la hausse de 30 % du SEI ?

Le token Sei (SEI) a enregistré une hausse de 30% en juin, découplée de la faiblesse récente du Bitcoin. Cette reprise a été déclenchée initialement par le rebond du BTC, mais s'est poursuivie grâce à d'autres catalyseurs, dont un squeeze à la hausse sur les positions vendeuses à effet de levier et l'anticipation de la mise à niveau « Giga » du réseau Sei, visant à améliorer sa vitesse et sa confidentialité. Le cours actuel, autour de 0,058 $, se heurte à une résistance clé à 0,06 $. Le franchissement de ce niveau dépendra en grande partie des prochaines données sur l'inflation américaine : un chiffre modéré pourrait renforcer l'appétit pour le risque et permettre une poussée vers 0,07 $ (soit un gain potentiel supplémentaire de 12%). À l'inverse, une inflation élevée pourrait stopper la rallye. En résumé, malgré un épuisement des vendeurs sur le marché des altcoins, la poursuite de la hausse de SEI reste conditionnée par le contexte macroéconomique et le sentiment de risque global.

ambcryptoIl y a 1 h

La prochaine mise à niveau 'Giga' est-elle le véritable moteur de la hausse de 30 % du SEI ?

ambcryptoIl y a 1 h

Le stablecoin MIM s'écarte de sa parité, le stress de liquidité d'Abracadabra revient

Le stablecoin Magic Internet Money (MIM) s'est à nouveau écarté de sa parité avec le dollar, exerçant une pression sur la liquidité du protocole Abracadabra et sur l'équilibre du pool Curve. Cet épisode ravive les inquiétudes concernant les risques liés aux stablecoins plus petits et aux boucles de collatéral dans la DeFi. La piscine de liquidités Curve, un indicateur clé, permet d'évaluer si les déséquilibres sont temporaires ou structurels. Pour les traders, les éléments à surveiller sont le prix du MIM, la composition du pool Curve, ainsi que les communications et ajustements des paramètres par Abracadabra. Un décrochage persistant pourrait entraîner des débouclages forcés de positions. L'événement rappelle que les stablecoins natifs de la DeFi concentrent simultanément des risques de contrat intelligent, de collatéral, de gouvernance et de liquidité, surtout en période de tension plus large sur les marchés cryptographiques.

bitcoinistIl y a 1 h

Le stablecoin MIM s'écarte de sa parité, le stress de liquidité d'Abracadabra revient

bitcoinistIl y a 1 h

Trading

Spot
Futures

Articles tendance

Comment acheter ADA

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Cardano (ADA) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Cardano (ADA).Solde :utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers :pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P :tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Cardano (ADA)Après avoir acheté vos Cardano (ADA), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Cardano (ADA)Tradez facilement Cardano (ADA) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

1.1k vues totalesPublié le 2024.12.10Mis à jour le 2026.06.02

Comment acheter ADA

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de ADA (ADA) sont présentées ci-dessous.

活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow