SecondFi, un projet Cardano (ADA), a subi une faille de sécurité majeure liée à une vulnérabilité dans son propre logiciel de génération de wallet. Les estimations des pertes varient de 16 millions à plus de 129 millions d’ADA, ainsi que d’autres jetons présents sur les wallets compromis.
L’ADA s’échange à 0,150237 $ au 24 juin, en baisse de 3,00 % sur les dernières 24 heures. À ce prix, l’estimation haute de SlowMist de 129 millions d’ADA correspond à environ 19,4 millions de dollars. Yu Xian, fondateur de SlowMist et connu sous le pseudo Cos, estime le montant total des pertes à plus de 20 millions de dollars. D’autres jetons non ADA présents sur les wallets compromis font grimper ce chiffre au-delà de l’estimation de SecondFi.
Comment le hack de SecondFi s’est déroulé
L’équipe de SecondFi a attribué la faille à une vulnérabilité au sein de son logiciel propriétaire de génération de wallet. Cette faille a permis aux attaquants d’accéder aux fonds présents sur de multiples wallets utilisateurs. Il est important de noter que le protocole de base de Cardano n’a pas servi de point d’entrée. Le projet a réalisé une analyse on-chain afin de cartographier l’ensemble des adresses affectées.
SecondFi collabore désormais avec une société indépendante spécialisée en sécurité blockchain pour réaliser un audit technique.
L’estimation interne du projet évalue les pertes à environ 16 millions d’ADA. Cependant, l’analyse de SlowMist concernant les mouvements de fonds et l’activité des wallets du hacker indique un impact plus important. Selon Yu Xian, plus de 129 millions d’ADA et d’autres jetons auraient transité par des adresses liées à l’attaquant.
Cette divergence suggère que le bilan final dépendra fortement des conclusions de l’examen indépendant.
L’incident s’inscrit dans une série d’attaques au niveau de l’infrastructure qui s’est accélérée en 2026. Plus tôt ce mois-ci, la fuite de clé privée du Humanity Protocol a fait chuter la valeur de son jeton de 88 % en 24 heures.
Un attaquant a pris le contrôle au travers de la compromission de matériel cryptographique. De la même façon, le hack du bridge Syscoin a démontré comment les failles présentes dans la couche logicielle peuvent généralement échapper aux audits de sécurité classiques. Dans les deux cas, la vulnérabilité provenait d’outils développés au-dessus de la blockchain principale, et non du protocole sous-jacent.
ADA sous pression après le hack de SecondFi
L’ADA évolue déjà proche de ses plus bas niveaux sur cinq ans. Charles Hoskinson a récemment proposé un plan de sauvetage pour Cardano, bien que les détenteurs d’ADA restent globalement sceptiques. Cette faille de sécurité vient ajouter un obstacle supplémentaire à un écosystème déjà fragilisé.
Hoskinson a réagi à l’incident SecondFi, soulignant que même si les pertes peuvent sembler modestes par rapport à d’autres hacks dans la crypto, cela n’apporte aucun réconfort aux personnes concernées. Il a insisté sur le fait que certains utilisateurs ont pu perdre l’intégralité de leurs ADA, qualifiant la situation de triste réalité de ce secteur.
Le hack a été découvert seulement un jour après le lancement du testnet Leios Musashi Dojo par Cardano. Les premières données d’activité sur le réseau ne montraient que peu de signes de regain significatif on-chain. Ainsi, la faille pourrait compliquer les initiatives visant à attirer de nouveaux développeurs et à renforcer la liquidité sur le réseau.
SecondFi n’a pas communiqué de calendrier pour le remboursement ni de plan de compensation. L’audit technique en cours devra déterminer si certains fonds sont encore récupérables. Il devra également fixer les modifications à apporter à l’infrastructure de wallet du projet avant une reprise sécurisée des opérations.
