استغلال SecondFi في كاردانو: ماذا حدث لتفريغ محفظة ADA بقيمة 2.4 مليون دولار؟

2026-06-29
استغلال SecondFi في كاردانو: ماذا حدث لتفريغ محفظة ADA بقيمة 2.4 مليون دولار؟

استغل الهجوم على بطاقة SecondFi ليصبح أحد أكبر حوادث أمان المحفظة في نظام كاردانو البيئي بعد أن قام المهاجمون بسحب حوالي 16 مليون ADA، والتي تعادل حوالي 2.4 مليون دولار، من مئات محافظ المستخدمين. في حين أن حجم الخسائر أثار قلق مجتمع العملات المشفرة، لم يتضمن الحادث ضعفًا في سلسلة كاردانو نفسها.

بدلاً من ذلك، تتبع المحققون الهجوم إلى عيب في برنامج المحفظة الإلكترونية الاستثماري المملوك لشركة SecondFi. كانت الثغرة تسمح للمهاجمين بإعادة بناء المفاتيح الخاصة بالمستخدمين بعد توقيع المعاملات المشروعة، مما يحول النشاط العادي في المحافظ إلى فرصة للسرقة.

لقد أثار الحدث تجديد المناقشات حول أمان المحفظة، واحتياجات البرمجيات التابعة لأطراف ثالثة، وأهمية تدقيق الكود بشكل صارم. إليك كل ما تحتاج إلى معرفته حول ما حدث، ولماذا حدث، وماذا يجب على المستخدمين المتأثرين فعله بعد ذلك.

النقاط الرئيسية

  • استهدف الاستغلال برنامج محفظة SecondFi، وليس سلسلة كتل Cardano. تم سرقة حوالي 16 مليون ADA من 374 عنوان محفظة بسبب خطأ في تنفيذ التشفير.

  • استغلت ثغرة عدم التحديد في المتغير العشوائي المفاتيح الخاصة. كان بإمكان المهاجمين اشتقاق المفاتيح الخاصة رياضيًا من توقيعات المعاملات المتاحة علنًا دون الحاجة إلى سرقة عبارات الجذر.

    • أطلقت شركة SecondFi خطة للتعافي.
    • أكملت الشركة صورة استرداد الأموال، وأمنت أموال مستخدمين إضافية، وتستعد لعملية تعويض آمنة للمستخدمين المتأثرين.

sign up on Bitrue and get prize

تداول بثقة. بيترون هو منصة آمنة وموثوقةمنصة تداول العملات الرقميةلشراء وبيع وتداول بيتكوين والعملات البديلة.

سجل الآن للمطالبة بجائزتك!

ما هو SecondFi؟

SecondFi

هي النسخة المعاد تسميتها من محفظة يوروي، واحدة من أطول محافظ كاردانو ذاتية الحفظ والتي تم تطويرها في الأصل بواسطة EMURGO، واحدة من المنظمات المؤسسة وراء نظام كاردانو الإيكولوجي.

على مر السنين، تطورت المنصة لتصبح أكثر من مجرد محفظة تقليدية للعملات المشفرة إلى ما تصفه بأنه تطبيق "نيومال المالية". يمكن للمستخدمين تخزين ADA، وامتلاك الأصول، وتداول العملات المشفرة، وإنفاق الأموال من خلال بطاقة فيزا للدفع، والوصول إلى خدمات مالية متنوعة مع الحفاظ على حيازة مفاتيحهم الخاصة.

قبل الحادث، كانت SecondFi تخدم أكثر من مليون مستخدم وتأمين مليارات من ADA في التخزين المفوض، مما جعلها واحدة من أكثر مزودي المحفظة وضوحاً في النظام البيئي.

اقرأ أيضًا:

ما الذي حدث خلال استغلال بطاقة SecondFi Cardano؟

وقع الحادث بين 21 يونيو و23 يونيو 2026، عندما نجح المهاجمون في استغلال ثغرة في برامج محفظة الويب Cardano الخاصة بـ SecondFi.

بدلاً من استهداف الـبلوكتشين كاردانوتركز المهاجمون على ضعف في آلية توقيع المعاملات في المحفظة. تم اختراق ما يقرب من 374 عنوان محفظة، مما أدى إلى خسائر إجمالية تصل إلى حوالي 16 مليون ADA، ما يعادل حوالي 2.4 مليون دولار في ذلك الوقت.

SecondFi Cardano Exploit: $2.4M ADA Wallet Drain Explained

المصدر: x.com/@secondfiapp

يعتقد المحققون في الأمن أن الهجمات حدثت على عدة موجات وشاركت فيها جهتان تهديد مستقلتان. على الرغم من أن الخسائر الفعلية كانت كبيرة، يقدر الخبراء أن التعرض المحتمل تجاوز 20 مليون دولار عندما تشمل الأصول الأصلية الخاصة بـ Cardano مثل NFTs.

لحسن الحظ، تم تقليص الأضرار الإجمالية بفضل التدخل السريع من قبل SecondFi قبل أن يمكن المساس بمحافظ إضافية.

السبب التقني: ثغرة نونيس حتمية

ما هو الرقم العشوائي الحتمي؟

تستند كل معاملة للعملات الرقمية الموقعة بتشفير المفتاح العام إلى قيمة عشوائية مؤقتة تُعرف باسم nonce.

إذا تم إنشاء هذه القيمة بشكل غير صحيح، فقد يتمكن المهاجمون من عكس هندسة عملية التوقيع واسترداد المفتاح الخاص بالمحفظة.

في اختراق SecondFi ADA، نشأت الثغرة من عيب في اشتقاق nonce الحتمي داخل برنامج توقيع المحفظة.

كيف عمل الهجوم

الهجوم لم يتطلب أي رسائل تصيد، مواقع ويب مزيفة، تثبيت برمجيات خبيثة، أو عبارات مفتاحية مسروقة.

بدلاً من ذلك، بمجرد أن قام محفظة متأثرة بتوقيع صفقة عادية، قام المهاجمون بتحليل التوقيع المتاح للجمهور والمسجل على الـبلوك تشين. بسبب التنفيذ المشفر المعيب، تمكنوا رياضياً من إعادة بناء المفتاح الخاص المقابل.

بعبارة أخرى، اعتمد الاستغلال بالكامل على رياضيات البرمجيات المعيبة بدلاً من أخطاء المستخدمين.

هذا النوع من الثغرات يشبه الحوادث التاريخية المتعلقة بأمان العملات الرقمية، بما في ذلك خطأ محفظة البيتكوين الشهيرة على نظام أندرويد الذي حدث بسبب توليد أرقام عشوائية ضعيفة قبل أكثر من عقد من الزمان.

اقرأ أيضًا:

لماذا لم يتم اختراق شبكة بلوكتشين كاردانو

واحدة من أكبر المفاهيم الخاطئة التي تحيط بالحادثة هي أن كاردانو نفسه تم اختراقه.

ذلك ليس ما حدث.

استمر بروتوكول كاردانو في العمل بشكل طبيعي طوال فترة الهجوم. تظل اتفاقية الإجماع والعقود الذكية والتخزين والتحقق من المعاملات جميعها آمنة.

بدلاً من ذلك، كانت الثغرة موجودة فقط داخل تنفيذ محفظة SecondFi المملوكة. هذه التفرقة مهمة لأن أمان البلوكشين وأمان برنامج المحفظة يمثلان طبقتين منفصلتين في نظام العملات الرقمية.

الحادثة تعمل كتذكير بأنه حتى عندما تكون البلوكتشين آمنة للغاية، يمكن للتطبيقات المبنية عليها أن تتسبب في إدخال ثغرات حرجة.

ما الذي تسبب في خلل البرنامج؟

وفقًا للتقارير، ظهرت الثغرة بعد استبدال مجموعة تطوير البرمجيات (SDK) التابعة لجهة خارجية والتي لم يتم تدقيقها تنفيذ التوقيع الذي تمت مراجعته سابقًا من قبل EMURGO حوالي 8 يونيو 2026.

أدى هذا التغيير إلى ظهور ثغرة النونك الحتمية المسؤولة عن الكشف عن المفاتيح الخاصة المتأثرة.

لأن العيب كان موجودًا على مستوى العنوان، فإن استعادة نفس عبارة الاستعادة في محفظة كاردانو أخرى لن تقضي على المخاطر.

المفاتيح الخاصة الأساسية المشتقة من عناوين المحفظة تلك ظلت معرضة للخطر.

لذلك، نصحت SecondFi المستخدمين بعدم استعادة عبارات الاسترداد أو نقل الأصول حتى تصبح التعليمات الرسمية للاسترداد متاحة.

اقرأ أيضًا:شارلز هوسكينسون: كاردانو يمكن أن تصبح نظام التشغيل الخاص بالعالم

خطة الاسترداد والاستجابة لثانية في

بعد اكتشاف الثغرة، قامت SecondFi بتنفيذ عدة تدابير طارئة لحماية المستخدمين وبدء جهود التعافي.

حماية الأصول الطارئة

قامت الشركة بنقل حوالي 129 مليون ADA إلى وصي طرف ثالث مستقل لمنع المزيد من الخسائر بينما استمرت التحقيقات.

تم إيقاف الخدمات المتأثرة مؤقتًا بينما قامت فرق الأمان بإجراء تحليل جنائي ونشر تصحيحات برمجية للمستخدمين غير المتأثرين.

لقطة استرداد الأموال

أكملت شركة SecondFi صورة نهائية للرصيد للحسابات المتأثرة قبل بدء عملية التعويض.

ستكون هذه اللقطة نقطة المرجع لحساب استردادات المستخدمين خلال برنامج الاسترداد.

أداة فحص المحفظة

للمساعدة في تحديد ما إذا كانوا متأثرين، أعلنت الشركة عن خطط لإصدار أداة للتحقق من المحفظة.

سيتمكن المستخدمون من تأكيد ما إذا كانت عناوينهم مدرجة في قائمة محافظ ADA المتأثرة قبل الشروع في أي خطوات استعادة.

جدول زمني للتعافي

في أواخر يونيو 2026، صرحت شركة SecondFi أن خطة التعافي الخاصة بها لا تزال على الجدول الزمني.

تتوقع الشركة أن يستغرق عملية التعويض حوالي أسبوعين، مما يسمح بوقت كافٍ للتطوير، ومراجعات الأمان، واختبار مكثف قبل إعادة الأموال.

كيف تأمن محفظة ADA الخاصة بك بعد الاستغلال

على الرغم من أن هذه الحادثة ناتجة عن خطأ في تنفيذ البرنامج بدلاً من خطأ المستخدم، إلا أنه يمكن لحاملي العملات المشفرة اعتماد ممارسات أمان أقوى.

اتبع التعليمات الرسمية للاستعادة

اعتمد فقط على التحديثات المنشورة من خلال القنوات الرسمية للتواصل مع SecondFi. لا تثق أبداً بالرسائل غير المرغوب فيها التي تدعي أنها تقدم مساعدة في استعادة المحفظة.

لا تشارك عبارة استرداد المحفظة الخاصة بك أبداً

قد أكدت SecondFi أنها لن تطلب أبداً عبارة الاسترداد الخاصة بك، أو المفاتيح الخاصة، أو تحويلات العملات المشفرة المباشرة.

يجب أن تُعالج أي طلب للحصول على هذه المعلومات على أنه احتيال على الفور.

تحقق من حالة المحفظة أولاً

قبل نقل أي أموال، استخدم أداة فحص المحفظة الرسمية بمجرد توفرها لتحديد ما إذا كانت عناوينك قد تأثرت.

نقل الأصول مبكرًا قد يعقد عملية الاسترداد.

考慮額外的安全層

على الرغم من أن الاستغلال حدث داخل برنامج المحفظة، إلا أن محافظ الأجهزة، والإعدادات متعددة التوقيعات، وحلول الحفظ المتنوعة يمكن أن توفر حماية إضافية ضد المخاطر المتعلقة بالبرامج في المستقبل.

اقرأ أيضًا:
لماذا يعتقد تشارلز هوسكينسون أن العديد من مشاريع العملات المشفرة قد تواجه صعوبات بحلول عام 2026

ما يعنيه استغلال بطاقة SecondFi Cardano لصناعة التشفير

تسلط الحادثة الضوء على درس مهم لمستخدمي العملات الرقمية.

تظل الحيازة الذاتية واحدة من أكبر نقاط القوة في العملات المشفرة، لكن سلاسل الكتل الآمنة وحدها لا يمكن أن تضمن حماية كاملة. تطبيقات المحفظة، إضافات المتصفحات، مكتبات البرمجيات، والاعتمادات الخارجية جميعها تمثل أسطح هجوم محتملة.

بالنسبة للمطورين، فإن الاستغلال يعزز أهمية التدقيق الأمني المستقل قبل دمج مكونات التشفير الجديدة في البرامج الإنتاجية.

بالنسبة للمستخدمين، يُظهر لماذا يجب تقييم مقدمي خدمات المحافظ ليس فقط من خلال السمعة ولكن أيضاً من خلال ممارساتهم الأمنية وشفافيتهم وقدرات الاستجابة للحوادث.

على الرغم من الخسائر، فقد اعترف العديد من أعضاء المجتمع بالتحقيقات الجنائية السريعة التي أجرتها SecondFi، والتواصل العام، وتدابير حماية الأصول الطارئة، والالتزام بتعويض المستخدمين المتضررين كأمور إيجابية في الاستجابة.

BitrueAlpha.webp

الخاتمة

استغلال SecondFi Cardano لم يكن فشلاً في Cardano نفسه ولكن كان ضعفاً حرجاً في البرمجيات داخل تنفيذ محفظة SecondFi.

Translation

أدى ضعف العشوائية المحددة إلى تمكن المهاجمين من إعادة بناء المفاتيح الخاصة بعد المعاملات الشرعية، مما أدى إلى سرقة حوالي 16 مليون ADA من 374 عنوان محفظة.

بينما يسلط الحادث الضوء على المخاطر المرتبطة ببرامج المحافظ الإلكترونية، فإنه أيضًا يُظهر أهمية الاستجابة الشفافة للحوادث والتخطيط الشامل للتعافي.

إذا كنت تعتقد أن محفظتك قد تأثرت، فاتبع الإرشادات الرسمية فقط، وتجنب عمليات الاحتيال لاستعادة الأموال، وانتظر التعليمات المؤكدة قبل نقل أصولك.

للحصول على أحدث التطورات حول استغلال SecondFi Cardano وأخبار الأمان المتعلقة بالعملات الرقمية الأخرى، يجب عليك دائمًا إجراء بحثك الخاص والاعتماد على الإعلانات الرسمية للمشاريع قبل اتخاذ أي إجراء.

الأسئلة الشائعة

ما هو استغلال SecondFi Cardano؟

استغلال SecondFi Cardano كان ثغرة في برنامج المحفظة سمحت للمهاجمين بإعادة بناء المفاتيح الخاصة من توقيعات المعاملات، مما أسفر عن سرقة حوالي 16 مليون ADA من 374 عنوان محفظة متأثر.

```html

هل تم اختراق بلوكتشين كاردانو؟

```

لا. ظلت شبكة كاردانو بلوكتشين آمنة طوال الحادث. كانت الثغرة موجودة فقط داخل برنامج محفظة SecondFi الخاص.

ما الذي تسبب في اختراق SecondFi ADA؟

تمت الإشارة إلى الاستغلال بسبب ثغرة nonce محددة تم إدخالها من خلال مجموعة تطوير برمجيات تابعة لجهة خارجية، والتي استبدلت تنفيذ التوقيع المدقق مسبقاً في المحفظة.

كيف يمكنني التحقق مما إذا كانت محفظتي قد تأثرت؟

أعلنت SecondFi أن أداة رسمية للتحقق من المحافظ ستسمح للمستخدمين بالتحقق مما إذا كانت عناوين محافظهم تأثرت. يجب على المستخدمين الانتظار للحصول على تعليمات رسمية قبل اتخاذ أي إجراء.

كيف يمكنني تحسين أمان محفظة كاردانو الخاصة بي؟

استخدم مزودي محفظة موثوقين، حافظ على تحديث البرمجيات، لا تشارك عبارة الاسترداد الخاصة بك، تحقق من الإعلانات الرسمية، اعتبر استخدام محافظ الأجهزة للمقتنيات الكبيرة، وكن حذرًا من عمليات الاسترداد المزيفة بعد الحوادث الأمنية الكبيرة.

إشعار: الآراء المعبر عنها تنتمي حصريًا إلى المؤلف ولا تعكس آراء هذه المنصة. تتنصل هذه المنصة وشركاتها التابعة من أي مسؤولية عن دقة أو ملاءمة المعلومات المقدمة. وهي لأغراض إعلامية فقط وليست مقصودة كنصيحة مالية أو استثمارية.

إخلاء المسؤولية: محتوى هذه المقالة لا يشكل نصيحة مالية أو استثمارية.

سجل الآن للحصول على حزمة هدايا للمبتدئين بقيمة 108 USDT

انضم إلى Bitrue للحصول على مكافآت حصرية

سجّل الآن
register

موصى به

بيت وايز يستثمر 114 مليون دولار في HYPE: لماذا تعتبر عملية الستاكينج مع هايبر ليكويد رائجة
بيت وايز يستثمر 114 مليون دولار في HYPE: لماذا تعتبر عملية الستاكينج مع هايبر ليكويد رائجة

بيت وايز يستثمر 114 مليون دولار في HYPE، مما يعزز عملية الستاكينج في هايبر ليكويد. تعرف على كيفية تشكيل ETF BHYP، ومكافآت الستاكينج، ونظام HYPE البيئي لعام 2026.

2026-06-29اقرأ
شرح SIMD-547 في سولانا: هل يمكن أن تزيد الرسوم المعتمدة على الموارد من حرق SOL؟
شرح SIMD-547 في سولانا: هل يمكن أن تزيد الرسوم المعتمدة على الموارد من حرق SOL؟

اكتشف كيف يقدم SIMD-547 في سولانا رسومًا معتمدة على الموارد، ويزيد من حرق SOL، ويمكن أن يعيد تشكيل توكنوميكس سولانا وديناميكيات العرض على المدى الطويل.

2026-06-29اقرأ
فيديلتي تقول إن تقسيم البيتكوين لا يضر بأمان الشبكة: إليك السبب
فيديلتي تقول إن تقسيم البيتكوين لا يضر بأمان الشبكة: إليك السبب

فيديلتي تقول إن أمان تقسيم البيتكوين يبقى قويًا على الرغم من انخفاض مكافآت الكتلة. تعلم كيف تدعم حوافز المعدنين والرسوم والسعر الشبكة.

2026-06-29اقرأ