Aller au contenu
Fondé MMXXVIVol. VI · № 299RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 299Compromission de clé privée

Exploit de génération de clés du portefeuille SecondFi

Un aléa prévisible dans le logiciel de portefeuilles Cardano de SecondFi a permis de drainer environ 2,4 M USD en ADA de 178 portefeuilles, avec jusqu'à 20 M USD de plus en jeu.

Date
Victime
SecondFi (formerly Yoroi)
Chaîne(s)
Cardano
Statut
Fonds dérobés

Le 23 juin 2026, SecondFi — le portefeuille auto-dépositaire de Cardano anciennement connu sous le nom de Yoroi — a révélé qu'une faille dans son propre logiciel de génération de portefeuilles avait permis à des attaquants de drainer environ 2,4 millions de dollars en ADA depuis 178 portefeuilles d'utilisateurs, tandis que la société de sécurité SlowMist avertissait qu'à terme jusqu'à 129 millions d'ADA (plus de 20 millions de dollars) pourraient être en jeu. Le protocole de base de Cardano n'a pas été compromis ; la faiblesse résidait entièrement dans le logiciel client de SecondFi.

Ce qui s'est passé

La cause racine était un aléa prévisible dans le logiciel qui crée les nouveaux portefeuilles et leurs clés privées. Comme la routine de génération de clés ne puisait pas dans une entropie suffisante, les clés privées obtenues étaient devinables — ce qui signifie que tout portefeuille produit par cette version du logiciel est potentiellement compromis, y compris les comptes qui n'ont pas encore été vidés. Les attaquants ont raflé des ADA, des jetons natifs et des NFT sur les comptes touchés ; les traceurs on-chain ont identifié environ 178 portefeuilles vidés, l'activité suspecte se concentrant sur la fenêtre des 21–22 juin avant la divulgation publique du 23 juin. La perte confirmée avoisine les 2,4 millions de dollars, mais SecondFi a prévenu que le chiffre officiel constitue un plancher, et non un plafond, dans l'attente d'un examen indépendant.

Conséquences

SecondFi a immédiatement suspendu ses services et est passé en mode maintenance, a pris un instantané des soldes des utilisateurs pour figer un relevé des avoirs, et a exhorté les utilisateurs à transférer leurs fonds hors de tout portefeuille généré par le logiciel concerné. L'équipe a indiqué qu'elle finalisait une revue technique avec une grande société de sécurité blockchain et qu'elle se coordonnait avec des acteurs clés de Cardano — Input Output Global (IOG), la Cardano Foundation, IntersectMBO et SundaeSwap — pour gérer les retombées. Aucun calendrier de remboursement n'a été annoncé et aucun fonds n'avait été récupéré au moment de la divulgation.

Pourquoi c'est important

La génération de clés faible est l'un des modes de défaillance les plus catastrophiques en crypto, car elle casse tous les portefeuilles à la fois, et pas une seule victime. L'incident rappelle l'exploit Profanity de Wintermute, où un générateur prévisible d'adresses vanity a permis à un attaquant de recalculer une clé privée et de voler 160 M USD, et il survient le même mois que la défaillance de gestion des clés chez Humanity Protocol. Pour un portefeuille grand public largement utilisé, une seule source d'entropie défectueuse transforme le confort de l'auto-conservation en risque systémique — et souligne pourquoi un aléa déterministe et bien audité est non négociable dans tout outil qui génère des clés privées.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2026/06/24/secondfi-loses-usd2-4-million-in-cardano-wallet-exploit-with-up-to-usd20-million-at-risk
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/secondfi-exploit-drains-cardano-users/
  3. [03]cryptobriefing.comhttps://cryptobriefing.com/secondfi-wallet-vulnerability-cardano-drain/
  4. [04]en.cryptonomist.chhttps://en.cryptonomist.ch/2026/06/24/secondfi-cardano-exploit-losses/
  5. [05]cryptotimes.iohttps://www.cryptotimes.io/2026/06/24/cardano-project-secondfi-halts-services-as-hack-estimates-hit-20m/

Dépôts liés