全球

Cardano钱包SecondFi 1600万ADA被盗:自托管钱包的合规责任边界在哪?

Posted on by Pony
24
6 月

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,作者 Tony,转载需授权。

导语:Cardano生态项目SecondFi(原Yoroi钱包)6月23日确认,其网页钱包生成软件存在安全漏洞,导致约1600万枚ADA(约242万美元)从178个用户钱包中被盗。慢雾创始人余弦更估计实际损失可能超过2000万美元,涉及逾1.29亿枚ADA。这不是一起普通的黑客攻击——漏洞出在钱包的密钥生成环节,这意味着即便是从未进行过链上交互的用户也可能受影响。

发生了什么:SecondFi的密钥生成漏洞

漏洞根因锁定在钱包生成软件

据SecondFi官方声明,问题根源在于其原生Cardano网页钱包生成软件(Crypto Briefing,2026-06-24)。与常见的智能合约漏洞或私钥泄露不同,这次的攻击面是钱包生成过程本身——即用户在创建新钱包时,系统生成的私钥可能存在可预测性或被中间环节截获的风险。

SecondFi的前身是Yoroi,由Cardano三大创始方之一EMURGO开发,曾服务超过100万用户。2026年4月,EMURGO将其升级为由托管型钱包转向自托管新金融平台SecondFi。但正是在这次架构转型中,钱包创建环节的安全性出了纰漏

178个钱包受影响,损失面或远超初步估计

SecondFi初步估计总影响约1600万枚ADA。但慢雾创始人余弦通过黑客地址资金流向及行为分析指出,用户实际损失理论上可能已超过2000万美元,涉及逾1.29亿枚ADA及大量其他代币和NFT(吴说区块链,2026-06-24)。

为什么重要:自托管钱包的合规责任真空

自托管 ≠ 无责任

加密行业长期存在一种认知偏差:自托管钱包(non-custodial wallet)既然不持有用户资产,平台就不对安全问题负责。但SecondFi的案例给出了一个重要反例:如果平台的软件本身在创建钱包时存在系统性缺陷,导致用户从第0天起就暴露在风险中,这种”无责论”是否还站得住脚?

从法律角度看,这与传统软件产品责任有类比空间。如果一款保险箱的生产流程存在系统性缺陷,导致用户放入的任何物品都可能被盗,制造商很难用”我们只是提供箱子,不负责保管”来免责。

钱包软件的监管分类尚属灰色地带

自托管钱包软件在全球范围内普遍不属于传统金融监管范畴。欧盟MiCA明确排除了完全去中心化服务和自托管钱包;美国FinCEN的钱包规则至今未正式落地;新加坡MAS对钱包提供商的监管指引也侧重于托管型钱包。这意味着像SecondFi这样的非托管钱包提供商,在绝大多数法域既无需持牌,也不受审慎监管约束

但问题在于:当漏洞损失发生时,受影响用户几乎没有制度化的赔偿路径。这与MiFID框架下的投资服务提供商、或PSD2/PSD3下的支付机构形成了鲜明对比——后者都有明确的运营风险管理和客户资金保障要求。

Cardano生态的连锁信任冲击

SecondFi事件不只是一家项目的安全灾难。Yoroi曾是Cardano生态最广泛使用的轻钱包之一,此次漏洞意味着大量ADA持有者的私钥安全性可能从一开始就存在缺陷。SecondFi已建议受影响用户立即将资产迁移至其他钱包——这对一个以安全性为卖点的Layer 1生态而言,是相当严重的一次信任危机。

怎么看:钱包安全事件对行业的启示

  • 密钥生成审计:钱包生成环节的安全性尚未形成行业标准和独立审计机制。大多数钱包的开源代码经审计的主要是签名逻辑和交易构建,而非密钥生成算法本身的随机性验证。这次事件可能推动”钱包生成流程审计”成为新的安全基准。
  • 用户赔偿机制缺失:自托管钱包的用户赔偿几乎完全缺失。传统金融服务有存款保险、投资者赔偿基金等多层保障,加密行业在钱包安全事件赔偿方面几乎是一片空白。SecondFi尚未公布补偿方案——这也是行业常态,用户只能自担损失。
  • 监管关注点正在前移:从智能合约审计到钱包生成安全,监管对加密基础设施安全的关注正向更上游移动。英国FCA在2026年DeFi监管讨论文件中已提及”基础设施层的消费者保护责任”,SecondFi事件可能加速这一趋势。
  • 生态协同应急能力:SecondFi已与IOG、Cardano Foundation、Intersect和SundaeSwap等生态机构合作监测资金流向。这种”危机公关联盟”可能是未来DeFi安全事件的标配,但制度化而非临时性的应急机制才是行业真正需要的。

一句话总结

SecondFi的漏洞暴露了加密行业一个系统性短板:自托管钱包的软件安全尚无行业标准和监管框架,漏洞一旦发生在密钥生成环节,用户的资产安全从第0天起就无法保障,而赔偿机制几乎完全缺失——这不是SecondFi一家的教训,而是整个行业的欠账。

本文基于Crypto Briefing(2026-06-24)吴说区块链(2026-06-24)报道撰写,慢雾创始人余弦提供了链上分析数据。

Pony

Pony Young,艾盈(Aiying)合伙人,专注亚太加密资产合规咨询。拥有香港/新加坡金融牌照法律实务经验,为超过 100 家加密及传统金融机构提供 VASP 牌照、反洗钱合规、加密基金架构、加密支付牌照、MiCA 合规等服务。运营 aiying.cc 加密合规资讯平台,致力于搭建亚太加密合规知识体系。