Cardano-lompakon bugi tyhjensi tilejä – siemenlauseen vaihto ei riitä suojaksi
- SecondFi paljasti Cardanon lompakon generointihaavoittuvuuden 21.–23.6.2026 tapahtuneiden koordinoitujen tyhjennysten jälkeen.
- CoinDeskin mukaan menetettiin noin 2,4 miljoonaa dollaria, ja Bitquery jäljitti konsolidointiosoitteen, jossa oli 129 430 001 ADA:a.
- Vika on osoitetasolla, joten siemenlauseen tuonti toiseen lompakkoon ei poista riskiä.
- EMURGO ja SecondFi tähtäävät varojen palautuksen alkamiseen noin kahdessa viikossa 26.6. otetun saldotilanteen pohjalta.
SecondFin lompakon generointivirhe vuosi varoja osoitetasolla. Riski on sidottu osoitteeseen, joten uusi lompakko-ohjelmisto ei katkaise sitä – vanha osoite on jätettävä kokonaan käyttämättä.
Moni SecondFi-käyttäjä luuli tehneensä oikein. Kun lompakon generointivirhe paljastui, he toivat siemenlauseensa toiseen Cardano-lompakkoon ja olettivat olevansa turvassa. He eivät olleet.
SecondFi paljasti Cardanon lompakon generointihaavoittuvuuden 21.–23.6.2026 tapahtuneiden koordinoitujen tyhjennysten jälkeen.
Ensimmäisten arvioiden mukaan hyökkääjät veivät noin 16 miljoonaa ADA:a 374 osoitteesta kolmessa tyhjennysaallossa. CoinDesk raportoi menetysten olleen noin 2,4 miljoonaa dollaria ja jopa 20 miljoonan dollarin olleen vaarassa.
Kuva tarkentui varsin nopeasti, kun ketjuanalyytikot pääsivät työhön.
Lohkoketjudataan erikoistunut Bitquery jäljitti kaksi tyhjennysaaltoa ja suuren konsolidointiosoitteen, johon oli kertynyt noin 129,4 miljoonaa ADA:a 23.6. mennessä. Saman selvityksen mukaan uhrilompakoita oli molemmissa aalloissa yhteensä noin 3 072.
Miksi luvut eroavat näin paljon? Kyse ei ole ristiriidasta. Luku 374 kuvaa ensimmäisiä selviä klustereita, kun taas 3 072 on perusteellisemman ketjuselvityksen tulos, joka nappaa mukaan toissijaiset polut ja konsolidoinnit.
Osoitetason vs. siemenlauseen haavoittuvuus
Siemenlauseen tason vika saastuttaisi kaikki lauseesta johdetut tilit. Osoitetason vika on salakavalampi: vaaralliseksi muuttuvat vain tietyissä olosuhteissa luodut osoitteet, vaikka muut saman lauseen osoitteet näyttävät kunnossa olevilta. Siksi lauseen tuonti uuteen lompakkoon ei auta. Riski seuraa osoitetta, ei käyttöliittymää.
Haavoittuvuus on osoitetasolla, ei siemenlauseen tasolla.
SecondFi ja Bitquery varoittavat selvityksissään, että vaarantuneen osoitteen tuominen uuteen lompakkoon ei poista riskiä.
Riski palaa heti, kun vaarantunut osoite allekirjoittaa minkä tahansa transaktion. Uusikaan ohjelmisto ei tilannetta korjaa, jos vanha osoite pääsee allekirjoittamaan.
Mitä käyttäjän kannattaa tehdä
Cardanon kaupallinen yhtiö EMURGO ja SecondFi kertoivat saaneensa ketjuselvityksen valmiiksi ja kirjanneensa lopullisen saldotilanteen 26.6. Palautustiekartta julkaistiin 27.6. Tavoitteena on aloittaa varojen palautus noin kahdessa viikossa. Ensimmäinen viikko kuluu mekanismin rakentamiseen, toinen testaukseen.
Käytännön ohjeet ovat lyhyet:
- Lopeta allekirjoittaminen kaikista mahdollisesti altistuneista osoitteista. Älä testaa pienilläkään summilla.
- Luo täysin uusi lompakko tuoreella siemenlauseella, jota et ole käyttänyt aiemmin.
- Seuraa vain virallisia palautuskanavia.
Viimeinen kohta on tärkeä. Tällaisten tapausten yhteydessä on odotettavissa huijaussivustojen ja vale-palautusportaalien aalto. Huijarit matkivat tunnettujen palveluiden nimiä juuri silloin, kun käyttäjät etsivät epätoivoisesti apua.
Palautuksen onnistuminen jää nähtäväksi, sillä aikataulu on tiukka ja itse mekanismi on vasta rakenteilla. Toistaiseksi tärkeintä on, ettei kukaan yritä pelastaa varojaan tavalla, joka laukaisee uuden tyhjennyksen.
