Community Trust ScoreVérifié
SecondFi, c’est fini. L’entreprise de portefeuille liée à Cardano ne reprendra pas ses activités normales — elle se concentre entièrement sur la récupération des actifs volés après qu’une faille de 2,4 millions de dollars ait vidé les fonds des utilisateurs le mois dernier.
Le développeur Emurgo a officialisé la décision, déclarant que SecondFi ne reviendra pas à ses opérations habituelles. L’entreprise a réuni une équipe dédiée à la récupération dont le seul travail actuellement est de restituer les actifs aux personnes touchées par la faille. Pas de nouveaux produits. Pas de développement commercial. Juste du nettoyage. Emurgo n’a pas encore publié d’audit complet, ce qui pose problème — car sans cela, les utilisateurs ne savent toujours pas exactement à quel point les dégâts ont été importants ni comment cela s’est produit à un niveau technique suffisamment profond pour satisfaire ceux qui posent des questions difficiles. Ce qui est confirmé : des acteurs malveillants ont volé 16 millions d’ADA. Un hacker éthique non identifié a ensuite récupéré 129 millions d’ADA, d’une valeur d’environ 18,5 millions de dollars. Le plan de récupération est encore en cours d’élaboration. Rien n’est finalisé.
Cela fait beaucoup de pièces mobiles sans calendrier attaché.
La faille de dérivation de nonce qui a tout brisé
La faille provenait d’un problème de « dérivation de nonce ». En gros, la vulnérabilité exposait les clés privées des utilisateurs en permettant aux attaquants de travailler à rebours à partir de données de transaction déterministes — des informations on-chain prévisibles qui leur donnaient suffisamment d’indices pour reconstruire les identifiants des portefeuilles. Une fois que les attaquants avaient les clés privées, l’accès non autorisé était simple. C’est le genre de faille difficile à détecter avant le déploiement mais catastrophique lorsqu’elle apparaît dans la nature, surtout sur un réseau où les transactions sont irréversibles par conception.
La partie concernant le hacker éthique est étrange. Le fondateur de Cardano, Charles Hoskinson, a participé aux discussions autour de l’incident, et ses commentaires semblaient indiquer que le hacker n’avait aucun lien avec Emurgo. Mais ce n’est pas confirmé. Personne ne l’a confirmé. L’identité du hacker, ses motivations, et s’il rendra les 129 millions d’ADA qu’il a récupérés — tout cela reste flou. Emurgo n’a rien dit de définitif sur qui est cette personne ou quel arrangement, s’il existe, est en place.
SecondFi affirme que les actifs saisis grâce à sa réponse d’urgence sont protégés. C’est la ligne officielle.
Emurgo a également mis en place une adresse de fonds de récupération contenant actuellement 2,8 millions d’ADA. Cela semble rassurant en surface. Mais il n’est pas clair si cet argent représente les actifs des utilisateurs récupérés ou les réserves propres d’ADA d’Emurgo qui y sont placées en tant que tampon. L’entreprise n’a pas clarifié cette distinction publiquement, ce qui est exactement le genre de chose que les utilisateurs doivent savoir avant de pouvoir évaluer à quel point ils pourraient réellement être indemnisés.
Un site de récupération qui n’est pas encore en ligne
Emurgo prévoit un nouveau site web où les utilisateurs concernés pourront vérifier l’état de leur portefeuille et suivre l’avancement des efforts de récupération. Il n’est pas encore en ligne. Le retard est frustrant pour quiconque reste sur la touche sans savoir si ses fonds sont dans le pool de récupération, perdus pour toujours, ou quelque part entre les deux. Aucune date de lancement n’est attachée à l’annonce du site, donc les utilisateurs attendent essentiellement sans signal clair sur le moment où la clarté arrivera.
Protos a contacté Emurgo pour un commentaire sur la composition du fonds de récupération et le calendrier plus large de récupération. Aucune réponse n’est revenue.
La communauté Cardano observe de près — et pas silencieusement. SecondFi était autrefois un nom reconnaissable dans l’écosystème. Maintenant, c’est essentiellement une opération réduite à une seule fonction : le retour des actifs. Les membres de la communauté ont signalé l’absence d’un audit détaillé comme une lacune sérieuse. Sans cela, il n’y a pas de comptabilité publique de la manière exacte dont la faille de dérivation de nonce s’est développée, si c’était une erreur de conception ou quelque chose introduit plus tard, et si d’autres portefeuilles construits sur une architecture similaire présentent un risque comparable. Ces questions ne disparaissent pas simplement parce que SecondFi a cessé de fonctionner.
L’angle du hacker éthique continue d’attirer l’attention. Quelqu’un a récupéré une énorme partie des ADA volés — 129 millions de jetons — et personne ne sait officiellement qui ils sont ou ce qui se passera ensuite avec ces fonds. Ce n’est pas un petit sous-plot. C’est probablement la question ouverte la plus conséquente de toute la situation, car la réponse détermine si la plupart des utilisateurs touchés récupèrent quelque chose de significatif. Les spéculations au sein de la communauté sont vives. Certains pensent que le hacker est lié au projet d’une manière ou d’une autre malgré les démentis. D’autres pensent qu’il s’agissait d’un chercheur en sécurité opportuniste. Aucun détail dans un sens ou dans l’autre.
Pendant ce temps, le fonds de récupération de 2,8 millions de dollars est là. C’est quelque chose. Si c’est suffisant, ou même ce que cela représente réellement, n’est pas encore clair.
Le passage complet de SecondFi à l’écart des opérations normales n’est pas surprenant étant donné l’ampleur de la faille. Mais la combinaison de l’absence d’audit, de l’absence de calendrier de récupération confirmé, d’un site de récupération inaccessible et d’un hacker anonyme détenant la majeure partie des fonds récupérés rend la situation assez inconfortable pour quiconque avait des actifs dans ces portefeuilles. Emurgo affirme être engagé à restituer les fonds. L’équipe de récupération est en place. Ce qui manque, c’est la feuille de route qui indique aux utilisateurs quand, combien, et dans quel ordre ils peuvent s’attendre à voir du mouvement.
Le fonds de récupération contient actuellement 2,8 millions d’ADA.
Questions Fréquentes
Qu’est-ce qui a causé la faille du portefeuille Cardano de SecondFi ?
Une faille de « dérivation de nonce » a exposé les clés privées des utilisateurs en permettant aux attaquants de reconstruire les identifiants des portefeuilles à partir de données de transaction déterministes, entraînant le vol de 16 millions d’ADA.
Combien d’ADA a été récupéré par le hacker éthique ?
Un hacker éthique non identifié a récupéré 129 millions d’ADA, d’une valeur d’environ 18,5 millions de dollars, bien que son identité et son affiliation avec Emurgo restent non confirmées.
