Dompet kripto berbasis Cardano, SecondFi, mengonfirmasi telah menjadi korban eksploitasi keamanan serius yang mengakibatkan pencurian sekitar 16 juta ADA — senilai sekitar $2,4 juta — dari 374 alamat pengguna. Insiden ini pertama kali diungkap pada Selasa lalu dan kini memasuki tahap pemulihan yang diperkirakan memakan waktu sekitar dua minggu.
Kronologi dan Jalur Pemulihan
CEO Emurgo selaku pengembang SecondFi, Phillip Pon, dalam pernyataan resmi pada Sabtu (27/6) menyampaikan bahwa investigasi forensik telah rampung dan jalur pemulihan aset telah berhasil diidentifikasi. Menurut Pon, satu pekan pertama akan digunakan untuk membangun solusi teknis pemulihan, dilanjutkan satu pekan berikutnya untuk pengujian keamanan sebelum aset mulai dikembalikan kepada pengguna terdampak.
Pon menegaskan agar pengguna tidak melakukan migrasi aset atau mengambil tindakan di luar panduan resmi. Ia memperingatkan bahwa proses pemulihan didesain berdasarkan snapshot status dompet terkini dan tindakan independen justru dapat mempersulit pengembalian dana secara aman.
Penyebab dan Dampak Eksploitasi
Tim SecondFi mengungkapkan bahwa akar masalah berasal dari kelemahan pada perangkat lunak pembuat dompet web Cardano mereka. Celah ini memungkinkan tereksposnya kunci privat (private key) pengguna di level alamat, membuka jalan bagi pelaku peretasan untuk mengakses dan menguras dana korban.
Di tengah proses pemulihan, SecondFi berhasil mengamankan sekitar 129 juta ADA melalui langkah darurat. Dana tersebut telah dipindahkan ke kustodian pihak ketiga independen dan akan ditahan di sana hingga seluruh proses verifikasi dan pemulihan rampung. Meski demikian, perusahaan belum menerbitkan post-mortem komprehensif yang merinci kerentanan teknis maupun metode yang digunakan pelaku dalam menjalankan eksploitasi.
Rekor Peretasan Q2 2026
Insiden ini menambah daftar panjang serangan siber di industri kripto sepanjang 2026. Data menunjukkan bahwa kuartal kedua tahun ini (Q2 2026) mencatat rekor sebagai kuartal dengan insiden peretasan terbanyak sepanjang sejarah, dengan total 83 insiden terverifikasi. Angka ini melampaui rekor sebelumnya dan mencerminkan semakin agresifnya aktor jahat dalam mengeksploitasi celah keamanan di ekosistem blockchain.
Waspada Penipuan Pemulihan
SecondFi juga mengeluarkan peringatan keras kepada komunitas terkait maraknya penipuan yang memanfaatkan momentum pemulihan. Perusahaan menyatakan bahwa pelaku kejahatan mulai menyebarkan pesan palsu yang mengatasnamakan SecondFi, meminta pengguna untuk menyerahkan informasi dompet, frasa seed, atau kredensial pribadi dengan dalih percepatan pemulihan.
SecondFi menegaskan bahwa seluruh proses pemulihan dilakukan secara internal dan perusahaan tidak akan pernah meminta kunci privat, frasa seed, kredensial dompet, atau akses langsung ke dompet pengguna dalam kondisi apa pun. Pengguna yang membutuhkan bantuan diminta untuk mengajukan tiket melalui portal dukungan resmi SecondFi.
Skandal ini menjadi tamparan keras bagi ekosistem Cardano, yang selama ini dikenal dengan pendekatan berbasis riset dan reputasi keamanan yang relatif kuat. Insiden SecondFi juga menimbulkan pertanyaan lebih luas tentang standar keamanan dompet kripto berbasis web dan perlunya audit independen yang lebih ketat terhadap infrastruktur penyimpanan aset digital.
