Buy CryptoMarketsSpotFuturesMUEarnEvent Center
More
S'inscrire
16M ADA drainés liés à une faille du portefeuille SecondFi, avec 3 072 victimes et un coffre de 129,43M ADA suivi on-chain. Instantané final le 26 juin ; récupération en deux semaines.16M ADA drainés liés à une faille du portefeuille SecondFi, avec 3 072 victimes et un coffre de 129,43M ADA suivi on-chain. Instantané final le 26 juin ; récupération en deux semaines.

L'Horloge de Récupération SecondFi : Comment un Bug de Portefeuille Cardano Est Devenu une Histoire de Sécurité des Seed Phrases

Source : Cryptodaily
2026/06/28 13:01
Temps de lecture : 12 min
Cardano
ADA$0.1447-1.76%
Pour tout commentaire ou toute question concernant ce contenu, veuillez nous contacter à l'adresse suivante : crypto.news@mexc.com

Imaginez la scène. Vous vous réveillez, ouvrez votre portefeuille Cardano, et le solde que vous avez vérifié hier soir a disparu. Pas une attaque de poussière. Pas un mauvais clic. Juste vide. C'était la réalité pour des centaines d'utilisateurs de SecondFi durant un long week-end de juin.

En milieu de semaine, un bug de génération de portefeuille s'était transformé en quelque chose de plus grand : une histoire de sécurité des seed phrases. Les gens pensaient qu'importer leur phrase dans une autre application les sauverait. Ce ne fut pas le cas. L'exposition se situait au niveau de l'adresse et revenait dès qu'une adresse affectée signait quoi que ce soit.

SecondFi et EMURGO sont passés en mode triage. Les données on-chain ont commencé à dresser un tableau plus clair, et une horloge de récupération a commencé à tourner.

SecondFi a divulgué une vulnérabilité de génération de portefeuille Cardano après des vidages coordonnés entre le 21 et le 23 juin 2026. Les premiers bilans pointaient vers environ 16 millions d'ADA prélevés sur 374 adresses lors de trois vidages principaux, selon les premières informations de CoinDesk. C'était le premier passage. La forensique a élargi l'objectif.

La reconstruction de Bitquery a identifié deux vagues et une grande adresse de consolidation, avec un coffre-fort de la deuxième vague contenant 129 430 001 ADA au 23 juin. Leur travail a également recensé environ 3 072 portefeuilles victimes balayés sur les deux vagues, bien au-delà de la première estimation des adresses impactées. Consultez l'analyse on-chain de Bitquery.

Voici la surprise révélée par Bitquery et SecondFi : la faille était au niveau de l'adresse. Importer une phrase de récupération affectée dans un autre portefeuille Cardano n'éliminait pas le risque. Le risque apparaissait lorsqu'une adresse affectée signait une transaction à n'importe quel moment, selon l'avertissement conjoint capturé dans le rapport de Bitquery et les mises à jour de SecondFi (Bitquery / SecondFi).

Ce qui s'est réellement passé dans les portefeuilles de SecondFi

SecondFi a mentionné une vulnérabilité de génération de portefeuille. Cela pointe vers des problèmes concernant la façon dont les adresses ou les clés ont été dérivées, stockées ou utilisées lors de la signature. Nous n'avons pas besoin de la ligne de code exacte pour comprendre l'étendue des dégâts : si une adresse créée dans ce processus était défectueuse, la clé privée la protégeant n'était pas fiablement sécurisée. L'utiliser plus tard, n'importe où, pouvait exposer des fonds.

Défaillance au niveau de l'adresse vs défaillance au niveau de la seed

Une défaillance au niveau de la seed empoisonnerait chaque compte dérivé de la phrase. Une défaillance au niveau de l'adresse peut être plus sournoise. Vous pourriez avoir une ou plusieurs adresses créées dans des conditions non sécurisées, tandis que d'autres sous la même seed semblent correctes. Mais au moment où l'une de ces adresses compromises signe une transaction, vous risquez un balayage.

C'est pourquoi les consignes officielles étaient si spécifiques. Bitquery et SecondFi ont tous deux averti que simplement réimporter votre phrase dans un autre portefeuille ne neutralise pas le problème. La vulnérabilité réside dans l'historique de l'adresse et le chemin de signature, pas dans l'interface utilisateur (Bitquery / SecondFi).

Alors, que peut réellement faire un utilisateur ?

Si vous avez utilisé SecondFi et pensez avoir été affecté, la posture la plus sûre est d'arrêter d'interagir avec toute adresse générée pendant la fenêtre d'exposition. Ne signez pas depuis ces adresses. Ne testez pas avec de petites sommes. Traitez-les comme compromises jusqu'à preuve du contraire par le processus forensique et le plan de récupération du fournisseur.

  1. Suspendez toute activité depuis les adresses potentiellement affectées. Ne signez rien depuis celles-ci.
  2. Générez un tout nouveau portefeuille Cardano en utilisant un chemin de confiance et une nouvelle seed phrase que vous n'avez jamais utilisée auparavant.
  3. Attendez le flux de récupération de SecondFi et EMURGO si vos fonds ont déjà été vidés. Si vous détenez encore des ADA sur des adresses que vous suspectez d'être affectées, demandez des instructions spécifiques au fournisseur avant de les déplacer. L'acte de signer pourrait être le déclencheur.
  4. Enregistrez votre nouvelle seed phrase hors ligne. Ne l'importez pas dans plusieurs endroits. Gardez-la séparée des environnements plus anciens, potentiellement exposés.

Il n'y a pas de boutons magiques ici. C'est une question de posture, de patience et d'hygiène opérationnelle rigoureuse.

Comment les vidages se sont déroulés on-chain

Nous avons deux versions de la même histoire : le premier instantané et la mosaïque complète après que les enquêteurs ont tracé les flux.

Des chiffres qui ont évolué au fur et à mesure

Les premières estimations des pertes portaient sur 16 millions d'ADA répartis sur 374 adresses lors de trois vidages (CoinDesk). L'analyse approfondie de Bitquery a cartographié deux vagues principales et identifié une grande adresse de consolidation contenant 129 430 001 ADA au 23 juin, plus un nombre bien plus élevé de portefeuilles impactés, environ 3 072 sur les deux vagues (Bitquery). Ces totaux couvrent des traces qui vont au-delà de la comptabilité de surface initiale.

Une brève chronologie de la divulgation à la planification de la récupération

Date (2026) Événement Source 21–23 juin Événements de vidage coordonnés liés à une faille de génération de portefeuille ; plusieurs balayages observés CoinDesk, Bitquery 24 juin Un tableau on-chain plus large émerge ; le coffre-fort de la deuxième vague montre ~129,43M d'ADA ; ~3 072 victimes identifiées sur les deux vagues Bitquery 26 juin EMURGO/SecondFi complètent la forensique et prennent un instantané final du solde pour ancrer la récupération The Block 27 juin Feuille de route de récupération publiée, visant à commencer les remboursements dans environ deux semaines The Block

Qui était exactement dans la zone de dommages ?

Si vous vous demandez pourquoi 374 adresses et ~3 072 victimes apparaissent toutes les deux dans les rapports, cela se résume à la portée et au calendrier. Les premiers décomptes se concentrent souvent sur les premiers clusters clairement liés. La forensique ultérieure balaie les chemins secondaires et les consolidations. Les adresses, les portefeuilles et les utilisateurs ne sont pas dans une relation un-à-un. De nombreux utilisateurs détiennent plusieurs adresses, et le regroupement des attaques peut brouiller les lignes. Traitez les deux chiffres comme des parties de la même carte en cours de déploiement, non comme des contradictions.

Pourquoi la sécurité des seed phrases est passée au premier plan

L'aspect le plus contre-intuitif de cette saga est que changer d'application de portefeuille ne répare pas un mauvais passé. Si une adresse est née d'un processus défectueux, le danger voyage avec elle. Vous pouvez installer le logiciel le plus audité du monde. Si vous importez la même phrase, puis signez depuis une adresse précédemment compromise, vous pourriez vous retrouver à nouveau dans la zone de danger. C'était au cœur des avertissements de SecondFi capturés dans le rapport Bitquery (Bitquery / SecondFi).

À quoi ressemble la sécurité désormais

Pensez en couches. Votre choix de portefeuille compte, bien sûr. Mais votre flux opérationnel compte davantage. Lorsque vous suspectez une exposition, vous faites une rotation.

Action Ce que cela résout Mises en garde Créer un tout nouveau portefeuille avec une nouvelle seed phrase Sépare l'activité future de toute exposition historique aux adresses Ne récupère pas les pertes passées ; suivez les étapes de récupération du fournisseur Éviter d'importer d'anciennes phrases dans de nouvelles applications Empêche la réactivation d'adresses compromises dans une autre interface Peu pratique, mais plus sûr après des problèmes suspectés au niveau des adresses Conserver les seed phrases hors ligne et de manière unique Réduit les risques de fuite multi-applications et de phishing Nécessite un stockage discipliné et des sauvegardes Ne surveiller que les annonces de récupération officielles Aide à éviter les portails imposteurs et les faux formulaires de remboursement Les escrocs usurperont les noms de marque lors d'incidents

En résumé. L'hygiène des seed phrases ne consiste pas seulement à écrire des mots sur papier. C'est comment, où et quand vous les réutilisez. Dans des incidents comme celui-ci, la réutilisation peut être le déclencheur caché.

À l'intérieur de l'horloge de récupération : instantanés, critères, paiements

Une fois la poussière retombée, EMURGO et SecondFi ont déclaré avoir terminé le travail forensique et pris un instantané final du solde le 26 juin 2026. La feuille de route publique visait à commencer les remboursements dans environ deux semaines. Une semaine pour construire le mécanisme de récupération. Une semaine pour le tester de bout en bout, comme rapporté par The Block.

Ce que cela signifie probablement en pratique

  1. Figer l'image. Utiliser l'instantané du 26 juin comme registre final des soldes impactés.
  2. Associer les réclamations aux adresses. Relier chaque adresse affectée et son solde à un réclamant avec des preuves solides.
  3. Construire et tester un mécanisme de paiement contrôlé. Minimiser les nouvelles signatures depuis les chemins compromis.
  4. Déployer par lots. Commencer par un petit groupe pour valider les hypothèses, puis étendre.
  5. Publier des critères d'éligibilité clairs et des canaux de contestation. Prévoir des cas particuliers et des UTXOs égarés.

Mise en garde importante : les fournisseurs ne divulguent pas toujours la logistique exacte des paiements à l'avance pour des raisons de sécurité. Les dates clés pour les utilisateurs sont l'instantané et la fenêtre de deux semaines de construction et de test. Si vous êtes un réclamant, gardez votre documentation bien organisée et ne suivez que les instructions publiées sur les canaux officiels.

Ce que cela signifie pour la conception des portefeuilles Cardano

Des incidents comme celui-ci posent des questions difficiles à tout écosystème. Quelques enseignements façonneront probablement le développement des portefeuilles Cardano dans les trimestres à venir.

Le déterminisme nécessite une vérification, pas seulement des standards

Les standards seuls ne suffisent pas. Les équipes ont besoin de builds reproductibles, de vecteurs de test indépendants et de vérifications d'adresses inter-implémentations afin que la même seed génère les mêmes chemins sécurisés dans chaque client. Si un client diverge silencieusement, les utilisateurs héritent de ce risque sans le savoir.

La preuve de sécurité est un processus, pas un badge

Les rapports d'audit aident, mais ce sont des instantanés. Les portefeuilles évoluent mensuellement. Les sources d'entropie sécurisées, l'isolation des chemins de clés et la modélisation des menaces doivent être intégrées dans le cycle de publication. Les bons fournisseurs invitent aux tests de régression et facilitent la vérification des dérivations entre les outils avant que de vrais fonds n'atteignent les adresses.

Des contrôles utilisateur qui réduisent la zone de dommages

Les utilisateurs bénéficient de contrôles légers : avertissements de signature par compte, friction lors de la réutilisation d'anciennes adresses, et étiquettes claires pour les comptes créés sous des builds plus anciens, potentiellement affectés. Rien de tout cela n'est glamour, mais cela transforme le risque invisible en choix explicites.

Risques & Ce qui pourrait mal tourner

  • Vague de phishing. Les attaquants vont usurper des portails de remboursement et des outils de réclamation pour capturer de nouvelles seeds ou signatures.
  • Faux positifs ou négatifs dans les instantanés. Certaines réclamations légitimes pourraient être manquées et nécessiter un examen manuel.
  • Re-signature depuis des adresses compromises. Les utilisateurs pourraient tenter de déplacer des fonds et déclencher de nouveaux vidages.
  • Retards de calendrier. Deux semaines peuvent glisser si les cas particuliers s'accumulent lors des tests.
  • Volatilité du marché. Si les remboursements sont en ADA, les fluctuations de prix peuvent compliquer la valeur perçue de la récupération.
  • Coordination juridique. Les nuances juridictionnelles peuvent ralentir les communications ou l'application contre les flux identifiés.

Si vous souhaitez une couverture régulière sans le bruit, l'équipe de Crypto Daily suit des histoires de sécurité de portefeuilles comme celle-ci sur toutes les chaînes. C'est une bonne lecture tout-en-un pendant que vous attendez les mises à jour officielles.

Questions fréquemment posées

Importer ma seed dans un autre portefeuille Cardano résout-il le problème ?

Non. Bitquery et SecondFi ont insisté sur le fait que la faille est au niveau de l'adresse. Si une adresse compromise signe une transaction n'importe où, l'exposition peut réapparaître. Changer d'application seul ne la neutralise pas (Bitquery / SecondFi).

Quelle quantité d'ADA était réellement à risque ?

Les premiers rapports faisaient référence à environ 16 millions d'ADA vidés de 374 adresses (CoinDesk). La forensique ultérieure a identifié un coffre-fort de la deuxième vague contenant 129 430 001 ADA et environ 3 072 portefeuilles victimes sur les deux vagues (Bitquery). Considérez 16 millions comme les vidages confirmés initiaux et 129,43 millions comme les avoirs consolidés cartographiés on-chain.

Quel est le calendrier de récupération ?

EMURGO/SecondFi ont déclaré avoir complété la forensique et pris un instantané final du solde le 26 juin 2026, puis ciblé le début des remboursements dans environ deux semaines, avec une semaine pour construire et une semaine pour tester le mécanisme (The Block).

Devrais-je essayer de déplacer moi-même les ADA restants ?

Soyez très prudent. Si l'adresse a été générée dans des conditions vulnérables, la signature pourrait être le déclencheur du risque. Suivez les consignes officielles de SecondFi et EMURGO. En cas de doute, passez à un tout nouveau portefeuille avec une nouvelle seed et attendez les instructions du fournisseur.

Comment puis-je vérifier si mes adresses faisaient partie des balayages ?

Surveillez les tableaux de bord officiels ou tout outil de recherche fourni par les fournisseurs ou des enquêteurs réputés. Évitez les vérificateurs de réclamations tiers publiés sur les réseaux sociaux. Lorsque des outils existent, ils doivent être liés par des canaux officiels.

L'utilisation d'un portefeuille matériel me protège-t-elle de ce type de bug ?

Le matériel aide pour l'isolation des clés, mais si une application défectueuse a généré l'ensemble d'adresses original, le risque peut persister au niveau de l'adresse. Pour les nouvelles configurations, générer la seed sur un portefeuille matériel de confiance réduit l'exposition future.

Que se passe-t-il avec les 129,43M d'ADA dans le soi-disant coffre-fort ?

Les enquêteurs suivent ces adresses de consolidation pour cartographier les flux et les sorties potentielles. Le traçage ne garantit pas la récupération. Il informe la conception de la récupération, l'engagement des forces de l'ordre et la surveillance des échanges (Bitquery).

Avertissement : Cet article est fourni à titre informatif uniquement. Il n'est pas offert ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.

Opportunité de marché
Logo de Cardano
Cours Cardano(ADA)
$0.1448
$0.1448$0.1448
-2.75%
USD
Graphique du prix de Cardano (ADA) en temps réel
Clause de non-responsabilité : les articles republiés sur ce site proviennent de plateformes publiques et sont fournis à titre informatif uniquement. Ils ne reflètent pas nécessairement les opinions de MEXC. Tous les droits restent la propriété des auteurs d'origine. Si vous estimez qu'un contenu porte atteinte aux droits d'un tiers, veuillez contacter crypto.news@mexc.com pour demander sa suppression. MEXC ne garantit ni l'exactitude, ni l'exhaustivité, ni l'actualité des contenus, et décline toute responsabilité quant aux actions entreprises sur la base des informations fournies. Ces contenus ne constituent pas des conseils financiers, juridiques ou professionnels, et ne doivent pas être interprétés comme une recommandation ou une approbation de la part de MEXC.

Vous aimerez peut-être aussi

My50 s'étend à la ligne Shah Alam à partir du 1er août

My50 s'étend à la ligne Shah Alam à partir du 1er août

Le ministre des transports a déclaré que les utilisateurs du pass My50 peuvent utiliser la ligne Shah Alam après la fin de la période de gratuité des tarifs.
Partager
Free Malaysia Today2026/06/28 14:03
Prédiction des prix de Binance Coin (BNB) : Où pourrait se trouver BNB dans 5 ans ?

Prédiction des prix de Binance Coin (BNB) : Où pourrait se trouver BNB dans 5 ans ?

TLDR BNB est utilisé pour les remises sur les frais de trading, le staking, la DeFi, les jeux et les paiements dans l'écosystème Binance. Les Token burn trimestriels réduisent l'offre totale de BNB, ciblant
Partager
Coincentral2026/06/28 14:39
La fracture au sein de PN donne un avantage à PH, mais nous nous concentrerons sur nos points forts, déclare Fahmi

La fracture au sein de PN donne un avantage à PH, mais nous nous concentrerons sur nos points forts, déclare Fahmi

Le directeur des communications de PH indique que la coalition se concentrera sur la mobilisation totale de ses partisans pour les élections de Johor.
Partager
Free Malaysia Today2026/06/28 14:35

Actualités tendance

Plus

Chiliz teste une résistance clé à 0,0180 $–0,0182 $ alors que les indicateurs techniques pointent vers une zone de cassure

Yield Basis génère 2,28 M$ de gains réalisés en BTC et ETH pour les LPs dans un marché volatile

Prévision du prix des cryptos pour aujourd'hui, 28 juin : Bitcoin (BTC), XRP, Ethereum (ETH)

Prédiction des prix de Hyperliquid (HYPE) : Où pourrait se trouver HYPE dans 5 ans ?

Le PDG de Galaxy Digital, Novogratz, a averti que Bitcoin pourrait chuter à 45 000 $ si le support de 59 000 $ à 60 000 $ venait à céder

Actualités en direct 24h/24 et 7j/7

Plus

Le XRP se prépare à un choc potentiel de la demande sur les marchés asiatiques.

Auteur : Ripple Bull Winkle | Crypto Researcher 🚀🚨10:01

Le Bitcoin se maintient à 60 000 $, début potentiel du cycle en 2027.

Auteur : borovik09:36

L'offre de RLUSD sur XRPL dépasse celle d'Ethereum, avec 801 millions de dollars contre 795 millions de dollars. Ripple a noté ce changement.

Auteur : Ripple Bull Winkle | Crypto Researcher 🚀🚨07:40

Vidéo sur le choc de la demande de XRP publiée, impact potentiel sur les détenteurs discuté.

Auteur : Ripple Bull Winkle | Crypto Researcher 🚀🚨07:01

Garlinghouse évoque des développements potentiels pour XRP, suscitant l'intérêt du marché.

Auteur : Ripple Bull Winkle | Crypto Researcher 🚀🚨02:02

Prix des cryptomonnaies

Logo de Bitcoin

Bitcoin

BTC

$60,362.70
$60,362.70$60,362.70

-0.79%

Logo de Ethereum

Ethereum

ETH

$1,583.15
$1,583.15$1,583.15

-1.39%

Logo de Solana

Solana

SOL

$71.96
$71.96$71.96

-1.22%

Logo de USDCoin

USDCoin

USDC

$1.00109
$1.00109$1.00109

-0.01%

Logo de XRP

XRP

XRP

$1.0536
$1.0536$1.0536

-2.02%

Newbies:Deposit $100, Get $1,000

Newbies:Deposit $100, Get $1,000Newbies:Deposit $100, Get $1,000

Plus Up to a $50 Referral Bonus