Детали компании
| Сайт |
https://secondfi.io
|
| Год основания |
2018 год
|
| Штаб-квартира |
США
|
| E-mail |
support@emurgo.io
|
| Номер телефона |
+351 931 745 272
|
История продукта уходит в октябрь 2018 года, когда компания EMURGO выпустила Yoroi — лёгкий self-custody кошелёк для сети Cardano. Почти восемь лет Yoroi оставался привычной точкой входа для держателей ADA, а в апреле 2026 года EMURGO провела ребрендинг и превратила его в SecondFi — платформу, которую разработчики называют neofinance-средой. Сайт secondfi.io прямо сообщает: Yoroi эволюционировал в SecondFi. Однако уже в июне 2026 года проект столкнулся с инцидентом, который заставляет оценивать криптокошелёк намного осторожнее.

Что предлагает SecondFi
SecondFi позиционирует себя шире обычного кошелька. Платформа обещает самостоятельный контроль активов, операции с криптовалютой, отслеживание портфеля и onchain-функции. В self-custody-модели приватные ключи и seed-фраза остаются у владельца — сервис их не хранит. Такая схема снижает зависимость от посредника, но перекладывает ответственность на самого пользователя.
Ключевые направления продукта:
- создание, миграция с Yoroi и восстановление кошелька через recovery phrase;
- защита доступа: PIN, App Lock и биометрия;
- покупка и продажа криптовалюты через фиатные каналы;
- подключение аппаратных кошельков Ledger и Trezor.
Поддержка hardware-устройств здесь особенно ценна: ключи остаются на самом устройстве и не попадают в уязвимый софт. После событий июня 2026 года именно этот сценарий выглядит наиболее надёжным.
Инцидент июня 2026 года
23 июня 2026 года SecondFi раскрыл уязвимость в собственном ПО генерации кошельков. Команда подтвердила три внешних атаки, которые опустошили около 16 млн ADA — примерно $2,4 млн на момент событий — с 374 адресов. Всего проект насчитал четыре события опустошения кошельков в окне 21–23 июня, три из них приписали внешним атакующим. Разработчики заявили, что успели увести в безопасное место ещё 129 млн ADA до того, как до них добрались злоумышленники, и выпустили патч для незатронутых пользователей.
| Параметр | Данные |
|---|
| Дата раскрытия | 23 июня 2026 |
| Источник проблемы | Веб-софт генерации кошельков |
| Похищено | ~16 млн ADA (~$2,4 млн) |
| Затронуто адресов | 374 |
| Спасено командой | 129 млн ADA |
| Оценка SlowMist | Потери возможно > $20 млн (не подтверждено) |
Корень проблемы технический. Аналитики описывают сбой в детерминированной генерации nonce: он позволил атакующим восстановить приватные ключи по открытым ончейн-данным. Уязвимость срабатывала на уровне адреса в момент подписи транзакции, а не в протоколе Cardano — сеть и её ноды остались целыми. Важная деталь: под угрозой оказались кошельки, созданные через веб-интерфейс, тогда как аппаратные устройства, по предварительным оценкам, в зону риска не попали.
Масштаб ущерба остаётся спорным. Специалисты SlowMist допускают, что с учётом других токенов и NFT суммарные потери могут превысить $20 млн. Эту цифру проект не подтвердил, и она зависит от независимого аудита, поэтому к ней стоит относиться с осторожностью. На фоне взлома курс ADA держался около $0,15 — минимума с 2020 года, что усилило давление на держателей.

Что делать пользователям «СекондФИ»
Инцидент обнажил неприятную истину: риск возник не из-за фишинга или ошибки владельца, а на уровне создания ключей. Простое восстановление seed-фразы в другом приложении проблему не решает — ключи скомпрометированы на адресном уровне. Более того, EMURGO предупредила, что самостоятельный перенос средств может помешать скоординированному возврату.
Разумные шаги в такой ситуации:
- следите за обновлениями только на secondfi.io и в официальном Telegram;
- не вводите seed-фразу на сторонних сайтах и не передавайте её «саппорту»;
- игнорируйте личные сообщения от мнимых «команд восстановления»;
- подавайте claim исключительно через официальный портал поддержки.
После публичных взломов почти всегда появляются мошенники, имитирующие проект. SecondFi отдельно подчёркивает, что никогда не запрашивает ключи, seed-фразы или доступ к кошельку.
Как оценивать кошелёк сейчас
Сам по себе ребрендинг нейтрален: проект хочет вырасти из кошелька в финансовую платформу. Но имя Yoroi и аудитория свыше 1 млн пользователей не отменяют главного вопроса — насколько безопасна инфраструктура. Сбой именно в генерации ключей бьёт по самому чувствительному месту, ведь пользователь доверяет кошельку создание криптографической основы. SecondFi числился в официальном каталоге приложений Cardano, поэтому проблема ударила не только по продукту, но и по доверию к экосистеме: сооснователь сети Чарльз Хоскинсон признал инцидент, но назвал сумму потерь скромной на фоне других взломов — слабое утешение для пострадавших.
Что проверять
| Что проверять | Почему это важно |
|---|
| Независимый аудит | Показывает внешний контроль кода, подтверждая отсутствие скрытых бэкдоров и уязвимостей. |
| Генерация ключей | Именно здесь произошёл сбой в недавнем инциденте; важно использовать проверенные генераторы энтропии. |
| Аппаратный кошелёк | Выводит ключи из уязвимого софта в изолированную среду, исключая доступ к ним из интернета. |
| Компенсационный план | Определяет уровень защиты пострадавших и серьёзность намерений команды проекта в случае форс-мажора. |
К плюсам относятся узнаваемое наследие Yoroi, институциональная поддержка EMURGO и совместимость с Ledger и Trezor. К рискам — серьёзный инцидент, незавершённое расследование и пока неясные итоги компенсации. EMURGO заявила о намерении вернуть средства примерно за две недели, разбив процесс на разработку механизма и его тестирование, но это оценка, а не гарантия.
Итог
SecondFi — не однодневный скам, а ребрендинг известного Yoroi с опорой на self-custody и onchain-финансы. При этом инцидент 2026 года резко поднимает планку требований: уязвимость в ПО генерации кошельков вывела миллионы ADA и поставила под сомнение безопасность части адресов. Новым пользователям проект всё ещё может быть интересен в экосистеме Cardano, но оценивать его по одному лишь наследию Yoroi теперь нельзя. Решающими критериями становятся прозрачность расследования, итоговый аудит и реальное исполнение компенсационного плана — а не громкое имя.