Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 299RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 299Kompromittierung privater Schlüssel

SecondFi Wallet-Schlüsselerzeugungs-Exploit

Vorhersehbare Zufallswerte in SecondFis Cardano-Wallet-Software ermöglichten den Diebstahl von rund 2,4 Mio. USD in ADA aus 178 Wallets, bis zu 20 Mio. USD weiter gefährdet.

Datum
Opfer
SecondFi (formerly Yoroi)
Chain(s)
Cardano
Status
Mittel entwendet

Am 23. Juni 2026 gab SecondFi — das Cardano-Self-Custody-Wallet, vormals bekannt als Yoroi — bekannt, dass ein Fehler in der eigenen Wallet-Erzeugungssoftware es Angreifern erlaubt hatte, rund 2,4 Millionen US-Dollar in ADA aus 178 Nutzer-Wallets abzuziehen. Die Sicherheitsfirma SlowMist warnte, dass letztlich bis zu 129 Millionen ADA (über 20 Millionen US-Dollar) gefährdet sein könnten. Das Cardano-Basisprotokoll war nicht betroffen; die Schwäche lag ausschließlich in der Client-Software von SecondFi.

Was geschah

Die Grundursache waren vorhersehbare Zufallswerte in der Software, die neue Wallets und ihre privaten Schlüssel erzeugt. Da die Schlüsselerzeugung nicht aus ausreichender Entropie schöpfte, waren die resultierenden privaten Schlüssel erratbar — das bedeutet, dass jede Wallet, die mit dieser Version der Software erstellt wurde, potenziell kompromittiert ist, einschließlich noch nicht geleerter Konten. Die Angreifer zogen ADA, native Token und NFTs aus betroffenen Konten ab; On-Chain-Tracker identifizierten etwa 178 geleerte Wallets, wobei sich verdächtige Aktivität auf das Fenster vom 21.–22. Juni vor der öffentlichen Bekanntgabe am 23. Juni konzentrierte. Der bestätigte Verlust liegt bei nahezu 2,4 Millionen US-Dollar, doch SecondFi warnte, dass die offizielle Zahl eher eine Untergrenze als eine Obergrenze sei, solange eine unabhängige Prüfung aussteht.

Folgen

SecondFi stellte den Dienst sofort ein und ging in den Wartungsmodus, erstellte einen Snapshot der Nutzerguthaben, um den Bestand festzuhalten, und forderte die Nutzer auf, Mittel aus jeder mit der betroffenen Software erzeugten Wallet abzuziehen. Das Team erklärte, es schließe eine technische Prüfung mit einer führenden Blockchain-Sicherheitsfirma ab und koordiniere sich mit wichtigen Cardano-Akteuren — Input Output Global (IOG), der Cardano Foundation, IntersectMBO und SundaeSwap — um die Folgen zu bewältigen. Ein Zeitplan für Entschädigungen wurde nicht angekündigt, und zum Zeitpunkt der Bekanntgabe waren keine Mittel zurückgeholt worden.

Warum es wichtig ist

Schwache Schlüsselerzeugung ist eine der katastrophalsten Fehlerarten im Kryptobereich, weil sie alle Wallets gleichzeitig bricht, nicht nur ein einzelnes Opfer. Der Vorfall erinnert an den Wintermute-Profanity-Exploit, bei dem ein vorhersehbarer Vanity-Adressgenerator es einem Angreifer erlaubte, einen privaten Schlüssel neu zu berechnen und 160 Mio. USD zu stehlen, und er fällt in denselben Monat wie das Schlüsselverwaltungsversagen bei Humanity Protocol. Für ein weit verbreitetes Consumer-Wallet verwandelt eine einzige fehlerhafte Entropiequelle den Komfort der Selbstverwahrung in eine systemische Gefahr — und unterstreicht, warum deterministische, gut auditierte Zufälligkeit in jedem Werkzeug, das private Schlüssel erzeugt, unverzichtbar ist.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/business/2026/06/24/secondfi-loses-usd2-4-million-in-cardano-wallet-exploit-with-up-to-usd20-million-at-risk
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/secondfi-exploit-drains-cardano-users/
  3. [03]cryptobriefing.comhttps://cryptobriefing.com/secondfi-wallet-vulnerability-cardano-drain/
  4. [04]en.cryptonomist.chhttps://en.cryptonomist.ch/2026/06/24/secondfi-cardano-exploit-losses/
  5. [05]cryptotimes.iohttps://www.cryptotimes.io/2026/06/24/cardano-project-secondfi-halts-services-as-hack-estimates-hit-20m/

Verwandte Einträge