SecondFi (ehemals Yoroi) stellt Dienste ein, nachdem ein Fehler in einer Cardano-Wallet Benutzergelder abfließen lässt: 2,4 Mio. $ bestätigt, bis zu 20 Mio. $ gefährdet

SecondFi, die Cardano Self-Custody-Plattform, die ein Rebranding der langjährigen Yoroi-Wallet von EMURGO ist, hat ihre Dienste nach einem Sicherheitsvorfall eingestellt, bei dem Benutzergelder abgezogen wurden. Laut der Offenlegung des Projekts vom 23. Juni 2026 und Berichten von Crypto Briefing, Crypto Times und crypto.news lag die Ursache des Problems nicht in einem Smart-Contract-Fehler, sondern in etwas Grundlegenderem: Die Software, die Wallets generierte, produzierte private Schlüssel mit vorhersagbarer Zufälligkeit, was Angreifern den Zugriff auf die Schlüssel betroffener Benutzer ermöglichte.

SecondFi hat betroffene Funktionen pausiert, den Wartungsmodus aktiviert, einen Saldo-Snapshot erstellt und Benutzer dringend aufgefordert, ihre Gelder zu verschieben. Die dem Vorfall zugeordneten Zahlen variieren stark, je nachdem, wer zählt, und diese Diskrepanz ist das Wichtigste zu verstehen.

Bestätigte Verluste versus Worst-Case-Warnung

Die eigene vorläufige Einschätzung von SecondFi ist die konservative Zahl: etwa 178 kompromittierte Wallets und etwa 16 Millionen ADA, zum damaligen Zeitpunkt rund 2,4 Millionen Dollar wert, abgezogen, zusammen mit einer unbestimmten Menge an Tokens und NFTs. Die verdächtige Aktivität konzentrierte sich auf etwa 200 Transaktionen um den 21. und 22. Juni 2026.

Das Blockchain-Sicherheitsunternehmen SlowMist, dessen Gründer unter dem Namen Cos bekannt ist, nannte eine wesentlich höhere Zahl. SlowMist verfolgte die Bewegungen des Angreifers über Nacht und schätzte, dass die gesamten potenziellen Verluste 20 Millionen Dollar übersteigen könnten, möglicherweise bis zu 129 Millionen ADA. Das Schlüsselwort ist potenziell. Diese Zahl ist eine Risikoschätzung, die Wallets abdeckt, die mit der fehlerhaften Software erstellt wurden und noch nicht geleert wurden, keine bestätigten gestohlenen Gelder, und sie wurde nicht von SecondFi bestätigt, die angibt, dass der genaue Verlust nach einem unabhängigen technischen Audit bekannt gegeben wird. Die ehrliche Darstellung ist ein bestätigter Abzug von etwa 2,4 Millionen Dollar und ein Worst-Case-Risiko, laut SlowMist, von über 20 Millionen.

Warum ein Fehler bei der Schlüsselgenerierung so gefährlich ist

Die meisten DeFi-Exploits greifen einen Smart Contract an. Dieser griff etwas darunter an. Die gesamte Sicherheit einer Krypto-Wallet beruht darauf, dass der private Schlüssel aus wirklich unvorhersehbarer Zufälligkeit generiert wird, sodass niemand ihn erraten oder reproduzieren kann. Laut SecondFi und SlowMist verwendete die native Cardano Web-Wallet-Generierungssoftware der Plattform eine vorhersagbare Zufälligkeit, was bedeutet, dass die von ihr erzeugten Schlüssel ebenfalls vorhersagbar waren. Wenn ein Angreifer modellieren kann, wie Schlüssel generiert wurden, ist jede mit dieser Software erstellte Wallet sofort exponiert, ohne dass Phishing oder ein Vertrags-Trick erforderlich ist. SecondFi sagte, das Problem sei auf die Generierung ihrer nativen Cardano Web-Wallet beschränkt gewesen. Diese Erklärung ist die vom Projekt und SlowMist angegebene Ursache und steht noch unter dem Vorbehalt eines unabhängigen Audits.

Dies ist das prägende DeFi-Angriffsmuster des Jahres 2026

Der SecondFi-Vorfall ist ein Lehrbuchbeispiel dafür, woher die DeFi-Verluste in diesem Jahr tatsächlich stammen. Im Jahr 2026 haben gestohlene Schlüssel, Zugangsdaten-Diebstahl und Zugriffs-Kompromittierung Smart-Contract-Fehler als dominante Ursache für DeFi-Verluste abgelöst, wobei mehrere Tracker einen Großteil des gestohlenen Werts dieser Kategorie und nicht fehlerhaftem Code zuschreiben. Wir haben das Ausmaß dessen in unserer Zusammenfassung der größten DeFi-Hacks des Jahres 2026 behandelt, wo die größten Vorfälle auf kompromittierte Infrastruktur und nicht auf fehlerhafte Verträge zurückzuführen waren. Ein schwacher Zufallszahlengenerator unter einer Wallet ist dieselbe Lektion an einem anderen Ort: Der Code, der Ihre Schlüssel enthält, ist genauso wichtig wie die Verträge, mit denen Sie interagieren.

Es landet auch auf einer kleinen Bühne. Der DeFi-Sektor von Cardano ist bescheiden, mit einem Total Value Locked im groben Bereich von 130 bis 142 Millionen Dollar im Jahr 2026, basierend auf von DeFiLlama abgeleiteten Daten, was ihn weit außerhalb der Top 20 Chains platziert. Nach unserer eigenen Überschlagsrechnung gegen diesen Bereich ist selbst der bestätigte Verlust von 2,4 Millionen Dollar ein signifikanter Anteil des Cardano DeFi, und ein Worst-Case von 20 Millionen Dollar wäre ein großer Anteil davon, während derselbe Betrag bei Ethereums zig Milliarden kaum ins Gewicht fallen würde.

Was betroffene Benutzer tun sollten

Wenn Sie eine Cardano-Wallet über SecondFi oder den älteren Yoroi-Webflow erstellt haben, ist die sichere Annahme, dass die Wallet kompromittiert sein könnte, unabhängig davon, ob sie bereits betroffen war. Befolgen Sie die offiziellen Anweisungen von SecondFi, generieren Sie eine brandneue Wallet mit vertrauenswürdiger, gut geprüfter Software und verschieben Sie alle verbleibenden Gelder so schnell wie möglich dorthin. Importieren Sie die alte Wiederherstellungsphrase nicht in die neue Wallet, da die Schwachstelle in der Art und Weise liegt, wie diese Phrase erstellt wurde. Seien Sie vorsichtig bei jedem, der ein Wiederherstellungs- oder Rückerstattungstool anbietet, da gefälschte Helfer routinemäßig nach solchen Vorfällen auftreten. Unser Leitfaden zu den sofortigen Schritten bei einer kompromittierten Krypto-Wallet führt Sie durch den Prozess, und bevor Sie in einen neuen Token investieren, können Sie dessen Vertrag mit dem DEXTools Token Safety Checker überprüfen. Dieser Artikel dient nur zu Informationszwecken und stellt keine Finanzberatung dar.