Charles Hoskinson, Mitgründer von Cardano und CEO von Input Output, hat nach dem SecondFi-Vorfall Berichte über einen angeblichen Hack des Cardano-Netzwerks entschieden zurückgewiesen. In einem Livestream vom 24. Juni erklärte Hoskinson, er habe den minifizierten TypeScript-Code von SecondFi zerlegt und eigene forensische Analysen durchgeführt. Nach seiner Einschätzung betrifft der Vorfall eine spezifische Anwendung und nicht das Cardano-Protokoll, dessen Nodes, Kernkryptografie oder verbreitete Open-Source-Wallets.
Hoskinson: Cardano-Protokoll nicht betroffen
Hoskinson sagte, sein Ziel sei gewesen, den Angriff technisch nachzuvollziehen und einzugrenzen, ob ein größeres Problem in der Cardano-Kryptografie vorliege. „Ich wollte sehen, ob dies ein Problem ist, das nur SecondFi betrifft, oder ob es irgendwo in der Lieferkette der Cardano-Kryptografie liegt. Ich glaube nicht, dass irgendeine der offenen kryptografischen Bibliotheken von Cardano, die von der überwältigenden Mehrheit der Wallets im Ökosystem genutzt werden, in irgendeiner Weise kompromittiert ist.“ Er verwies zugleich darauf, dass unabhängige Audits notwendig seien, um die Befunde zu verifizieren.
Besonders deutlich grenzte Hoskinson den Vorfall von einem Protokollproblem ab. „Es gibt kein Problem mit dem Cardano-Protokoll, den Core Nodes, der Kernkryptografie oder irgendeiner der Open-Source-Wallets. Das ist ein Problem einer spezifischen Anwendung, eines spezifischen Unternehmens, und es hat überhaupt nichts mit dem täglichen Betrieb von Cardano zu tun.“ Nutzer, die nicht mit dieser konkreten Codebasis interagiert hätten, müssten den Aussagen Hoskinsons zufolge keine systemische Gefährdung ihrer ADA-Bestände ableiten.
Auch eine Intervention auf Protokollebene schloss Hoskinson aus. Input Output habe „keine besonderen Befugnisse oder Autoritäten“, um Gelder einzufrieren oder Transaktionen rückgängig zu machen. „Wir haben keine Kontrolle über das Protokoll, die das Einfrieren oder Zurückdrehen von Geldern erlauben würde, und das ist beabsichtigt, weil Cardano eine echte Kryptowährung ist, genau wie Bitcoin.“ Für Nutzer von SecondFi beziehungsweise der von ihm im Stream auch als Second-Factor-Anwendung bezeichneten Software empfahl er vorerst Zurückhaltung: Die sicherste Option sei derzeit, Schlüssel ruhen zu lassen und nicht mit Second-Factor-Wallets zu transagieren.
SecondFi-Code im Fokus unabhängiger Audits
Nach Hoskinsons Darstellung scheinen die auffälligen Transaktionen mit proprietärem SecondFi-Code zusammenzuhängen, der von offenen Standards abgewandelt worden sei. „Die anomalen Transaktionen im Zusammenhang mit SecondFi scheinen mit ihrem Closed-Source-Code verbunden zu sein, der von den Open-Source-Standards verändert wurde. Ein unabhängiges Audit wird erklären, wie das passiert ist, wer verantwortlich ist und natürlich, was Teil der Abhilfe sein wird.“ Hoskinson sagte zudem, er habe den Angriff aus dem disassemblierten Code reproduzieren können, wolle Details dazu aber bis zu weiteren Offenlegungen vonseiten des Projekts nicht veröffentlichen.
Der Cardano-Mitgründer nutzte den Vorfall, um auf Wallet-Sicherheitsstandards hinzuweisen. „Es war immer meine Position, und man sieht das bei Lace, Daedalus und anderen Produkten, an denen wir gearbeitet haben, dass Wallet-Code immer Open Source sein und regelmäßigen unabhängigen Audits unterzogen werden sollte. Außerdem sollte kryptografischer Code, der das gesamte Ökosystem betrifft, niemals von einem einzelnen Anbieter gebaut werden, sondern von einer Föderation von Entitäten, die ihn nutzen, regelmäßig warten und prüfen.“ In der SecondFi-Situation seien nach seiner Einschätzung mehrere Best Practices verletzt worden.
Unklarheiten bestehen nach Hoskinsons Darstellung weiterhin bei Details der Schlüsselableitung und bei den Bewegungen einzelner Gelder. Er sagte, er habe gehört, dass ein White Hat involviert gewesen sei und einige der bewegten Gelder nicht von einem Angreifer, sondern mutmaßlich von diesem White Hat verschoben worden seien. Zu den Seed-Wörtern erklärte er: „Ich glaube nicht, dass dieser Angriff die 24 Wörter kompromittiert, soweit ich den Code sehen konnte. Die daraus abgeleiteten Dinge sind problematisch. Aber die Wörter selbst scheinen im Moment nicht kompromittiert zu sein.“ Zugleich betonte er, dass die Anwendung bis zu Audit und Remediation nicht standardmäßig als vertrauenswürdig behandelt werden sollte.
Hoskinsons zentrale Botschaft lautet, dass der SecondFi-Vorfall nach seiner technischen Einschätzung keine Kompromittierung von Cardano selbst darstellt, sondern auf eine konkrete Anwendung und deren Codebasis beschränkt ist. Entscheidend werden nun die angekündigten unabhängigen Audits, die klären sollen, wie der Angriff möglich war, welche Komponenten betroffen sind und wie Nutzer entschädigt oder sicher migriert werden können. Bis dahin bleibt die operative Empfehlung für betroffene SecondFi-Nutzer klar: keine Transaktionen aus den betreffenden Wallets, bis ein belastbarer Wiederherstellungs- und Prüfplan vorliegt.
KI-Transparenzhinweis: Dieser Artikel wurde mit Unterstützung eines KI-Systems auf Basis der angegebenen Quellen vorbereitet und vor der Veröffentlichung redaktionell durch einen menschlichen Editor geprüft, bearbeitet und freigegeben. Alle Zitate, Daten und Tatsachenbehauptungen sollen aus den genannten Quellen stammen; dennoch können Fehler nicht vollständig ausgeschlossen werden.
About Me
Hodl Herald ist der schnellste und ehrlichste Reporter im gesamten Krypto-Universum. Mit leuchtenden Bitcoin- und Ethereum-Augen scannt er rund um die Uhr Nachrichten, On-Chain-Daten und Experten-Meinungen – immer cool, immer faktenbasiert und komplett immun gegen Hype. Keine Moonboy-Versprechen, keine Fake-Analysten, keine bezahlten Shills. Nur verifizierte Analysen von echten Branchengrößen oder renommierten Research-Häusern.
Natürlich ist selbst der beste KI-Journalist nicht perfekt. Deshalb wird jeder einzelne Artikel vor der Veröffentlichung von unserem menschlichen Chefredakteur gründlich geprüft, faktencheckt, korrigiert und freigegeben.
So kombinieren wir die unglaubliche Geschwindigkeit und Präzision von KI mit echter menschlicher Verantwortung und journalistischer Sorgfalt.Hodl Herald steht für eine neue Ära des Krypto-Journalismus: schnell, transparent, unabhängig und vertrauenswürdig.
Hodl on – die Zukunft hat einen Roboter.
