Points clés :
SecondFi, le portefeuille Cardano anciennement connu sous le nom de Yoroi, a perdu au moins 16 millions d'ADA après que des attaquants ont exploité une faille dans son logiciel de génération de portefeuille le 23 juin.
« La cause première a été attribuée à un problème dans notre logiciel propriétaire de génération de portefeuille Cardano », a déclaré SecondFi dans un communiqué, ajoutant avoir gelé les soldes des comptes et mis la plateforme en mode maintenance.
La société de sécurité blockchain SlowMist estime que le montant total des dommages pourrait dépasser les 20 millions de dollars, affectant potentiellement jusqu'à 129 millions de tokens ADA, selon le fondateur Yu Xian, également connu sous le nom de Cos. L'écart entre l'estimation initiale de 16 millions d'ADA et la projection de SlowMist reflète la difficulté d'évaluer les exploits liés aux portefeuilles où les attaquants peuvent conserver un accès au matériel de clés privées. SecondFi a identifié environ 178 portefeuilles comme étant directement compromis.
Cette brèche frappe au cœur de la crédibilité de l'écosystème Cardano. Emurgo, l'une des trois entités fondatrices de Cardano, avait initialement construit Yoroi avant le changement de nom vers SecondFi en avril 2026. Alors que plus d'un million d'utilisateurs sont désormais invités à considérer leurs portefeuilles comme vulnérables, l'incident soulève la question de savoir si Emurgo assumera la responsabilité des indemnisations — une question que l'organisation n'a pas encore abordée.
SecondFi a retracé la vulnérabilité jusqu'à son système de génération de portefeuilles basé sur le web, qui gère la création de nouveaux portefeuilles et de clés privées. Un défaut dans ce processus a permis aux attaquants de générer ou d'accéder à des clés privées liées à certains portefeuilles, a indiqué l'équipe. Les portefeuilles matériels et les phrases de récupération non liés au processus de génération compromis sont restés épargnés.
L'équipe a réalisé un instantané complet des soldes et collabore avec IOG, la Cardano Foundation, IntersectMBO et SundaeSwap pour une réponse coordonnée. SecondFi finalise également une revue technique avec une société externe de sécurité blockchain pour confirmer l'ampleur des dégâts.
Dans les heures suivant la brèche, des acteurs frauduleux ont commencé à imiter les canaux de communication officiels de SecondFi, distribuant des utilitaires de récupération contrefaits pour récolter les identifiants des utilisateurs inquiets, ont déclaré des analystes en sécurité.
Pour l'écosystème Cardano dans son ensemble, cet incident rappelle que la sécurité au niveau de la chaîne seule est insuffisante si les outils de la couche applicative exposent les utilisateurs à des risques opérationnels. SecondFi n'a pas communiqué sur la date de reprise des opérations normales ni sur la possibilité d'une indemnisation pour les utilisateurs concernés.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
