Wallet Cardano SecondFi mengalami eksploitasi keamanan yang mengakibatkan 374 alamat terkuras. Sekitar 16 juta ADA senilai $2,4 juta terdampak, sementara 129 juta ADA berhasil diamankan.
Eksploitasi Wallet Cardano SecondFi
Platform wallet berbasis Cardano, SecondFi, mengonfirmasi telah menjadi korban eksploitasi keamanan serius yang mengakibatkan dana pengguna terkuras dari ratusan alamat. Insiden ini menjadi salah satu serangan terbesar terhadap infrastruktur wallet di ekosistem Cardano sepanjang 2026.
SecondFi mengungkapkan bahwa sekitar 16 juta ADA, setara dengan $2,4 juta, berhasil dicuri oleh penyerang dari total 374 alamat yang terdampak. Namun, tim berhasil mengaktifkan langkah darurat yang mengamankan sekitar 129 juta ADA dan memindahkannya ke kustodian pihak ketiga independen untuk ditahan sementara menunggu proses verifikasi pengguna yang terkena dampak.
Akar Penyebab: Kerentanan Level Alamat
Berdasarkan investigasi awal, SecondFi menyatakan bahwa akar penyebab insiden ini adalah kerentanan pada level alamat (address-level issue) yang memengaruhi pengguna saat mereka menandatangani transaksi. Kerentanan ini terdapat pada perangkat lunak pembuatan wallet web Cardano milik SecondFi, yang secara tidak sengaja mengekspos kunci privat (private key) yang dihasilkannya.
Mitchell Amador, CEO perusahaan keamanan blockchain Immunefi, memberikan analisis tajam mengenai insiden ini. Menurutnya, meskipun blockchain Cardano sendiri tetap aman, kode yang menghasilkan kunci privat adalah bagian yang sangat jarang diaudit, berbeda dengan smart contract yang rutin menjalani audit keamanan. Ia menambahkan bahwa para penyerang semakin mengalihkan fokus mereka dari protokol blockchain ke infrastruktur yang membuat atau menyimpan kunci kripto.
Respons Charles Hoskinson dan IOG
Charles Hoskinson, pendiri Cardano melalui Input Output Global (IOG), dengan tegas menyatakan bahwa SecondFi bukanlah produk IOG dan tidak ada hubungan kepemilikan, kontrol, atau bisnis antara wallet tersebut dengan IOG. Hoskinson menekankan bahwa IOG bukanlah Emurgo, entitas di balik SecondFi yang sebelumnya dikenal sebagai Yoroi Wallet sebelum rebranding pada April 2026.
Tim respons insiden IOG telah berkomunikasi dengan SecondFi sejak Senin dan platform tersebut telah meminta audit keamanan independen. Hoskinson juga menyatakan dalam video yang diunggah di X bahwa IOG tidak menulis kode wallet tersebut dan tidak terhubung dengannya sama sekali.
Peringatan untuk Pengguna yang Terdampak
SecondFi memberikan peringatan keras kepada pengguna yang terdampak untuk tidak memulihkan recovery phrase mereka ke wallet Cardano baru. Langkah ini berbeda dengan rekomendasi sejumlah anggota komunitas yang menyarankan pengguna untuk segera memigrasikan dana ke alamat baru.
Menurut SecondFi, pemulihan ke platform atau wallet lain tidak mengurangi risiko karena kunci privat telah terekspos pada level perangkat lunak pembuatan wallet. Dana yang diamankan sebesar 129 juta ADA kini berada di bawah pengelolaan kustodian pihak ketiga dan akan dikembalikan kepada pengguna yang terdampak setelah proses verifikasi selesai.
Implikasi untuk Keamanan Infrastruktur Kripto
Insiden ini menimbulkan pertanyaan serius tentang keamanan infrastruktur wallet dalam ekosistem Cardano dan industri kripto secara lebih luas. Dengan semakin banyaknya serangan yang menargetkan lapisan infrastruktur daripada protokol blockchain itu sendiri, kebutuhan akan audit keamanan yang menyeluruh pada setiap komponen ekosistem menjadi semakin mendesak. Para analis keamanan memperkirakan tren serangan terhadap infrastruktur wallet akan terus meningkat sepanjang tahun 2026 seiring dengan adopsi kripto yang semakin meluas.
Artikel ini hanya untuk tujuan informasi dan edukasi. Konten yang disajikan tidak dimaksudkan sebagai nasihat keuangan, investasi, atau trading. Setiap keputusan investasi adalah tanggung jawab pribadi. Selalu lakukan riset mendalam (DYOR - Do Your Own Research) sebelum berinvestasi dalam aset kripto atau digital.
