9 năm niềm tin sụp đổ! Fan lâu năm của Cardano mất trắng 'hàng triệu ADA' vì bị hack, ví chính thức SecondFi bị lỗ hổng chết người

Theo tiết lộ của người dùng nền tảng X và điều tra của tổ chức an ninh mạng, ví chính thức SecondFi (trước đây là Yoroi) thuộc thực thể sáng lập Cardano EMURGO đã bùng phát lỗ hổng phần mềm nghiêm trọng. Một fan trung thành ủng hộ Cardano suốt 9 năm đã đăng bài than khóc rằng 998.000 ADA dành dụm làm lương hưu đã bị hacker lấy sạch mà không hề rò rỉ cụm từ gợi nhớ. Tổ chức an ninh SlowMist ước tính tổng thiệt hại của vụ việc này có thể vượt quá 20 triệu USD.
(Tin trước: Quỹ Cardano giấu 1090 BTC, nhà đầu tư trái phiếu nổi tiếng yêu cầu công khai dòng tiền)
(Bổ sung bối cảnh: Người sáng lập Cardano tuyên bố "Tôi đi nghỉ đây", ADA giảm xuống 0,19 USD, mức thấp nhất trong 5 năm)

Mục lục bài viết

Toggle

• 9 năm niềm tin tan thành mây khói, triệu ADA lương hưu bị đánh cắp
• Ví chính thức phát hiện lỗ hổng chết người, thiệt hại có thể hơn 20 triệu USD
• Cộng đồng than thở không dùng "ví lạnh", dịch vụ tạm dừng, dự kiến bồi thường

Thị trường tiền điện tử lại ghi nhận sự cố an ninh nghiêm trọng, và lần này là ví chính thức được người dùng vô cùng tin tưởng. SecondFi (trước đây là ví Yoroi với hàng triệu người dùng) thuộc thực thể sáng lập Cardano EMURGO đã bùng phát lỗ hổng phần mềm nghiêm trọng, dẫn đến việc nhiều người dùng bị hacker cướp sạch tiền mà không hề rò rỉ cụm từ gợi nhớ. Một fan trung thành ủng hộ Cardano suốt 9 năm đã đăng bài trên cộng đồng than khóc rằng gần triệu ADA dành dụm làm lương hưu đã về không chỉ trong một đêm, gây chấn động và xôn xao trong cộng đồng.

Tôi đã ở lại với Cardano suốt 9 năm. Toàn bộ tài sản của tôi, Ada (998k), đã bị đánh cắp một ngày trước. Tôi không hề hay biết, giao dịch đã được phê duyệt và Ada biến mất.
Được tạo ra bởi tổ chức sáng lập Emergo, tôi chỉ sử dụng ví @secondfiapp này trên điện thoại di động (iPhone).

— Jacsam (@j3j30104) Ngày 24 tháng 6 năm 2026

9 năm niềm tin tan thành mây khói, triệu ADA lương hưu bị đánh cắp

Một người dùng nền tảng X tên Jacsam (@j3j30104) đã đăng bài vào ngày 24 cho biết anh ta là người ủng hộ trung thành của hệ sinh thái Cardano suốt 9 năm. Tuy nhiên, 998.000 ADA (hiện có giá trị vài trăm nghìn USD) mà anh ta lưu trữ trong ứng dụng di động SecondFi đã biến mất mà anh ta hoàn toàn không hay biết và không phê duyệt bất kỳ giao dịch nào.

Jacsam đau lòng chỉ ra rằng anh ta luôn viết cụm từ gợi nhớ (Seed phrase) an toàn trên giấy và cất giữ, sai lầm duy nhất là "quá tin tưởng" vào ví do tổ chức chính thức EMURGO phát hành. Anh ta đã đầu tư toàn bộ số tiền ngoài chi phí sinh hoạt vào làm lương hưu, giờ đây mất tất cả, khiến anh ta, một người cha có gia đình, cảm thấy vô cùng buồn bã và đau khổ. Anh ta thậm chí còn thất vọng đặt câu hỏi liệu việc tin tưởng lâu dài vào Cardano và người sáng lập Charles Hoskinson có phải là một sai lầm chết người hay không.

Ví chính thức phát hiện lỗ hổng chết người, thiệt hại có thể hơn 20 triệu USD

Bi kịch này không phải là sự cố đơn lẻ mà bắt nguồn từ lỗ hổng hệ thống nghiêm trọng của ví SecondFi. Theo thông báo chính thức của SecondFi vào ngày 23, phần mềm tạo ví tồn tại lỗ hổng nghiêm trọng, khiến khóa riêng tư (Private keys) hoặc cụm từ gợi nhớ của một số người dùng trở nên có thể bị hacker dự đoán. Điều này có nghĩa là kẻ tấn công không cần người dùng chủ động tiết lộ bất kỳ thông tin nào cũng có thể trực tiếp truy cập và đánh cắp tiền trong ví.

🚨 CẬP NHẬT BẢO MẬT: Nguyên nhân gốc rễ & Phạm vi ảnh hưởng đã được xác nhận

Chúng tôi đã xác định được nguyên nhân gốc rễ của sự cố bảo mật gần đây. Vấn đề chỉ giới hạn trong phần mềm tạo ví Cardano web gốc của chúng tôi.

Nhóm của chúng tôi đã hoàn thành phân tích on-chain để xác định phạm vi ảnh hưởng, và…

— SecondFi (@secondfiapp) Ngày 23 tháng 6 năm 2026

Về quy mô thiệt hại, SecondFi ước tính ban đầu có khoảng 178 ví bị ảnh hưởng, thiệt hại khoảng 16 triệu ADA. Tuy nhiên, tổ chức an ninh blockchain nổi tiếng SlowMist sau khi theo dõi dữ liệu on-chain đã đưa ra con số đáng kinh ngạc hơn. SlowMist chỉ ra rằng thiệt hại thực tế có thể lên tới 129 triệu ADA cộng với các token và NFT khác, tổng thiệt hại có thể vượt quá 20 triệu USD.

Cộng đồng than thở không dùng "ví lạnh", dịch vụ tạm dừng, dự kiến bồi thường

Sự việc đau lòng của Jacsam đã gây ra sự đồng cảm rộng rãi trong cộng đồng, nhưng cũng thu hút nhiều tiếng thở dài bất lực từ các chuyên gia an ninh. Nhiều người chỉ ra rằng việc lưu trữ số tiền lớn gần triệu ADA trong ví "nóng" trên điện thoại kết nối mạng mà không sử dụng ví lạnh phần cứng (như Ledger) để bảo vệ nhiều lớp ủy quyền là một hành vi cực kỳ nguy hiểm.

Hiện tại, SecondFi đã tạm dừng toàn bộ dịch vụ và chuyển sang chế độ bảo trì, đồng thời chính thức chụp nhanh (Snapshot) số dư ví bị ảnh hưởng, trong tương lai có thể dựa vào đó để bồi thường hoặc khôi phục tiền. Về vấn đề này, người sáng lập Cardano Charles Hoskinson cũng đã lên tiếng phản hồi, nhấn mạnh đây là vấn đề phần mềm ở lớp ứng dụng ví, không phải giao thức cơ bản của blockchain Cardano bị tấn công. Mặc dù vậy, một số thành viên cộng đồng vẫn kêu gọi mạnh mẽ rằng EMURGO, với tư cách là thực thể chính thức, phải chịu hoàn toàn trách nhiệm về sai sót nghiêm trọng này và bồi thường cho các nạn nhân.