loading...
SecondFi(原Cardano钱包开发方)表示,已为周二安全事件中受影响的用户制定出资产恢复方案,预计约两周内开始返还用户资产。该计划基于法证调查、安全审查及多项测试结果制定,以确保恢复流程能够安全适配事件中涉及的所有钱包状态。
在周六发布的更新中,SecondFi开发公司Emurgo首席执行官Phillip Pon表示,公司已完成法证调查,并"确定了针对受影响用户的资产恢复路径"。Pon补充道,接下来一周将用于构建恢复方案,随后进行为期一周的测试,之后才会启动资产返还工作。
- SecondFi表示,在完成新方案构建与测试后,约两周内启动资产恢复。- 此次事件根源被追溯至SecondFi的Cardano网页钱包生成软件中的地址层级漏洞,该漏洞导致用户私钥泄露。- SecondFi通过应急措施将约1.29亿枚ADA转入独立第三方托管机构妥善保管,待验证与恢复流程完成后处理。- 用户被提醒切勿迁移资金或遵循SecondFi官方指引以外的任何操作,以免增加安全返还的难度。- SecondFi同时警告,有不法分子冒充该钱包诱导用户提供私钥、助记词及其他账户访问信息。
SecondFi的恢复路线图聚焦于Pon所称已经完成的工作:法证调查,以及针对事件造成的钱包状态量身定制恢复路径。Pon指出,公司下一步将对恢复机制进行工程化实现,并立即转入专项测试阶段。
重要的是,Pon敦促用户在恢复流程准备期间,切勿自行转移资产或采取SecondFi官方指引以外的任何操作。他表示,恢复方案是围绕现存的钱包状态设计的,用户独立操作可能引入不确定因素,使得资金安全返还变得更加困难。
SecondFi此前于周二披露了此次安全漏洞,报告称约1600万枚ADA受到影响(当时价值约240万美元),涉及374个地址。根据钱包方此前的报告,事件根源被追溯至SecondFi的Cardano网页钱包生成软件中的地址层级漏洞,该漏洞导致用户私钥泄露。
除受影响地址外,SecondFi称已通过应急措施安全保管了约1.29亿枚ADA。公司随后将这些资金转入独立第三方托管机构,在SecondFi完成验证和恢复工作前,资金将保持托管状态。
截至周六更新,SecondFi尚未发布完整的事后分析报告,详细描述漏洞的具体信息或攻击者实施攻击的精确方式。
在公布恢复时间表的同时,SecondFi警告称,恶意行为者正在其恢复工作期间散布虚假信息。该钱包强调,目前尚未启动任何需要用户参与的恢复操作。
SecondFi明确表示,绝不会以任何理由向用户索要私钥、助记词、钱包凭证,或要求直接访问用户钱包。它提醒用户,任何要求提交钱包信息、迁移资产,或在未经验证的渠道之外采取紧急行动的消息,均应视为诈骗。
对于需要帮助的用户,SecondFi建议在恢复流程仍处于构建与测试阶段时,通过其官方支持门户提交工单。
对于受影响的用户而言,周六更新中最具实际意义的内容是流程顺序:SecondFi并未要求用户立即采取行动,而是将恢复工作定位在事件发生时已存在的钱包状态基础上。这一点之所以重要,是因为用户在恢复窗口期自行转移资金或更换钱包设置等临时操作,可能导致恢复方案预期的链上状态与实际状态不匹配。
引入第三方托管环节也表明,SecondFi将已找回的资金视为需经验证后方可释放。虽然这并不能消除用户私钥泄露带来的不确定性,但它提供了一个明确的资金保管节点,原则上可以降低资金在恢复流程确定前被转移的风险。
由于SecondFi尚未发布全面的事后分析报告,用户应关注其后续的测试节点和可能发布的技术细节披露。在此期间,实际操作的优先事项依然明确:只遵循经过验证的SecondFi官方指引,忽略任何要求提供钱包访问权限或所谓"恢复协助"的可疑信息。
855
822
364
907
819
616
342
512
812
378
