SecondFi, sebelumnya terkait dengan merek dompet Yoroi, telah menangguhkan layanannya setelah sebuah cacat kritis dalam perangkat lunak pembuatan dompet berbasis web miliknya dilaporkan mengekspos kunci pribadi dan menyebabkan pencurian ADA besar-besaran. Insiden ini memicu peringatan mendesak bagi pengguna yang terdampak, namun paket sumber yang divalidasi jelas pada satu poin penting: ini bukanlah peretasan terhadap protokol blockchain Cardano itu sendiri.
TL;DR
- SecondFi menangguhkan layanan setelah cacat pembuatan kunci pribadi dilaporkan membahayakan dompet ADA.
- Laporan awal menyebut kerugian sekitar 16 juta ADA, atau kira-kira $2,4 juta, dari 374 dompet.
- SlowMist memperingatkan dampak total bisa melebihi 129 juta ADA, atau lebih dari $20 juta dalam aset.
- Masalah ini terlokalisasi pada perangkat lunak pembuatan dompet SecondFi, bukan protokol Cardano.
- Pengguna yang terdampak diperingatkan untuk tidak memulihkan frase seed yang telah dikompromikan ke dompet lain.
Pembuatan Kunci Pribadi di Pusat Insiden
Paket penulisan yang divalidasi menggambarkan kerentanan tersebut sebagai cacat yang terkait dengan pembuatan kunci pribadi dalam perangkat lunak dompet berbasis web milik SecondFi. Perbedaan itu sangat penting. Jika kunci pribadi dibuat dengan tidak aman atau terekspos, penyerang berpotensi mengakses dompet meskipun blockchain yang mendasarinya terus beroperasi normal.
Perkiraan awal menyebut 16 juta ADA dicuri dari 374 dompet, setara dengan kira-kira $2,4 juta pada valuasi yang dirujuk. Perusahaan keamanan SlowMist kemudian memperingatkan bahwa dampak yang lebih luas bisa melebihi 129 juta ADA, atau lebih dari $20 juta dalam aset. Angka-angka tersebut harus ditangani dengan hati-hati, namun mereka menunjukkan mengapa insiden ini dengan cepat menjadi cerita keamanan prioritas tinggi bagi ekosistem Cardano.
Protokol Cardano Tidak Dikompromikan
Salah satu batasan terpenting dalam cerita ini adalah apa yang tidak terjadi. Jaringan Cardano itu sendiri tidak digambarkan diretas atau dikompromikan dalam paket validasi. Masalahnya terlokalisasi pada perangkat lunak pembuatan dompet yang digunakan oleh SecondFi, yang berarti risiko terpusat pada dompet terdampak dan kunci pribadi, bukan pada konsensus lapisan dasar atau keamanan ledger Cardano.
Perbedaan itu penting bagi pengguna dan untuk interpretasi pasar. Kompromi dompet tetap bisa serius, terutama ketika kunci pribadi terlibat, tetapi pada dasarnya berbeda dari eksploitasi tingkat protokol. Salah menyatakan batasan itu bisa menciptakan kepanikan yang tidak perlu dan merusak pemahaman publik tentang insiden tersebut.
Peringatan bagi Pengguna yang Terdampak
Peringatan keamanan terkuat juga yang paling sederhana: pengguna yang terdampak tidak boleh memulihkan frase seed yang telah dikompromikan ke dalam dompet lain. Jika kunci pribadi itu sendiri dibuat dengan tidak aman atau terekspos, mengimpor frasa pemulihan yang sama di tempat lain tidak memperbaiki masalah. Itu hanya bisa memindahkan kredensial yang sama yang telah dikompromikan ke antarmuka baru.
Paket validasi juga memperingatkan untuk tidak mengikuti tautan pemulihan yang tidak terverifikasi atau platform pengembalian dana pihak ketiga. Itu adalah pola yang familiar setelah eksploitasi crypto: penipu sering muncul dengan cepat, menyamar sebagai meja dukungan, tim pemulihan, atau portal pengembalian dana. Pengguna harus bergantung hanya pada pembaruan resmi SecondFi dan peringatan keamanan yang diakui.
Apa yang Terjadi Selanjutnya
Fase selanjutnya akan bergantung pada apakah SecondFi menerbitkan analisis pasca-kejadian (post-mortem) lengkap, apakah perusahaan keamanan dapat mengonfirmasi cakupan akhir dompet yang terdampak, dan apakah proses pemulihan atau kompensasi ditetapkan melalui saluran resmi. Sampai saat itu, kerangka paling aman adalah bahwa ini adalah insiden keamanan dompet aktif dengan perkiraan kerugian yang berpotensi meningkat.
Bagi komunitas Cardano, episode ini adalah pengingat bahwa keamanan blockchain tidak berakhir di lapisan protokol. Pembuatan dompet, antarmuka berbasis browser, penanganan frase seed, dan alur pemulihan pengguna semuanya bisa menjadi titik kegagalan kritis. Dalam kasus ini, tugas paling mendesak adalah membantu pengguna yang terdampak menghindari eksposur lebih lanjut sementara cakupan akhir dikonfirmasi.
Laporan ini didasarkan pada informasi dari Blockonomi Exploit dan Crypto Economy Warning.
Artikel ini ditulis oleh News Desk dan disunting oleh Samuel Rae.
