Tiga Serangan Terpisah dalam Satu Insiden
Dompet kripto berbasis Cardano, SecondFi, menjadi korban serangan eksploitasi yang menguras sekitar 16 juta ADA senilai $2,4 juta dari 374 alamat pengguna dalam tiga serangan terpisah pada Rabu (24/6). Tim SecondFi mengonfirmasi bahwa akar masalahnya adalah celah keamanan pada perangkat lunak pembuatan dompet proprietary mereka.
Dalam pernyataan di platform X, tim SecondFi menjelaskan bahwa kerentanan ini berada pada level alamat (address-level), yang berarti memindahkan seed phrase ke dompet lain tidak memberikan perlindungan apa pun. "Risiko keamanan terjadi ketika pengguna yang terkena dampak menandatangani transaksi," jelas tim tersebut. Patch keamanan telah dirilis untuk pengguna yang belum terdampak.
Potensi Kerugian Bisa Mencapai $20 Juta
Yang lebih mengkhawatirkan, perusahaan keamanan blockchain SlowMist memperkirakan total kerugian dapat melampaui $20 juta jika memperhitungkan seluruh dompet dan token yang terkompromi. Angka ini masih menunggu konfirmasi melalui audit independen yang sedang berlangsung.
Sebelum penyerang dapat menjangkau dana tambahan, tim SecondFi mengaktifkan langkah penyelamatan darurat dan mengamankan 129 juta ADA dengan merutekan dana tersebut ke kustodian pihak ketiga independen. Sebuah firma akuntansi eksternal telah dilibatkan untuk memverifikasi kepemilikan dana tersebut, dan pengguna yang terkena dampak dapat mengajukan klaim langsung ke SecondFi.
Respon Charles Hoskinson dan Kondisi Pasar
Pendiri Cardano, Charles Hoskinson, mengakui insiden ini namun mencatat bahwa jumlah kerugian dalam dolar relatif kecil dibandingkan dengan peretasan kripto lainnya. "Ini menyakitkan bagi mereka, setiap kali mereka kehilangan sesuatu," ujar Hoskinson. "Ini adalah realitas yang tidak menguntungkan dari dunia kripto."
Insiden ini terjadi di tengah pasar kripto yang sedang tertekan. ADA, token asli Cardano, saat ini diperdagangkan di sekitar $0,15 — level terendah sejak tahun 2020. Eksploitasi ini menambah daftar panjang insiden keamanan di ekosistem DeFi sepanjang 2026.
Kerentanan Unik pada Level Alamat
Yang membuat kasus ini unik adalah sifat kerentanannya yang berada pada level alamat. Tidak seperti kebanyakan peretasan dompet di mana pengguna dapat melindungi diri dengan memindahkan aset ke dompet baru, kerentanan SecondFi aktif ketika pengguna yang terdampak menandatangani transaksi apa pun — membuat dana mereka rentan terlepas dari tindakan pencegahan standar.
Tim SecondFi menegaskan bahwa pengguna yang tidak terkena dampak kini aman setelah patch diterapkan, dan penyelidikan forensik menyeluruh sedang dilakukan untuk memahami skala penuh serangan serta memastikan langkah-langkah keamanan yang lebih kuat ke depannya.
