Ctrl Wallet suljetaan, kun toipuminen tietoturvaloukkauksesta epäonnistui

Ctrl Wallet suljetaan, kun toipuminen tietoturvaloukkauksesta epäonnistui
Vielä yksi kryptoprojekti lopettaa toimintansa.

Ei-hallinnollinen (non-custodial) moniketjulompakko Ctrl Wallet suljetaan äskettäisen tietoturvavälikohtauksen seurauksena. Projektitiimi varoitti käyttäjiä, että heidän on nostettava varansa seuraavan kuukauden kuluessa.

Tämä artikkeli on käännetty alkuperäisestä tekstistä. Lue kirjeenvaihtajamme alkuperäinen versio täältä.

Ctrl Wallet ilmoitti tietoturvaongelmasta 23. kesäkuuta. Tapaus vaikutti joihinkin alustan Cardano-lompakoihin. Tuolloin palvelu siirtyi tilapäisesti huoltotilaan käyttäjien varojen suojaamiseksi, kunnes täysi toiminnallisuus saataisiin palautettua.

Nyt lompakon ylläpitäjä on ilmoittanut, että 3. elokuuta 2026 alkaen varojen lähettäminen, vastaanottaminen ja vaihtaminen (swap) sekä kaikki muut toiminnot sovelluksessa lakkaavat olemasta käytettävissä. Ainoaksi työkaluksi jää mahdollisuus viedä siemenlauseet (seed phrases).

Sovellus poistetaan sovelluskaupoista ja selainlaajennuskaupoista, ja uudet lataukset estetään välittömästi Ctrl Walletin blogikirjoituksen mukaan.

Mitä käyttäjien tulisi tehdä

Elokuun 3. päivään asti käyttäjät voivat siirtää varoja Ctrl Walletista toiseen pörssiin tai kryptolompakkoon. Kyseisen päivämäärän jälkeen he voivat ainoastaan tuoda siemenlauseensa toiseen yhteensopivaan lompakkoon. Ctrl Wallet suosittelee painokkaasti varojen nostamista ennen määräaikaa.

Projektitiimi täsmensi, että käyttäjät voivat viedä 12- tai 24-sanaiset siemenlauseensa yhteensopiviin lompakoihin, kuten MetaMask, Trust Wallet ja Phantom.

Ctrl Wallet varoitti myös, ettei se laske liikkeelle migraatiotokenia eikä suunnittele airdropia. Käyttäjiä kehotettiin olemaan varovaisia tällaista palkkiota lupaavien valeprofiilien ja -sivustojen kanssa.

Ctrl Wallet tunnettiin aiemmin nimellä XDEFI Wallet. Yrityksen LinkedIn-sivun mukaan sillä on 11–50 työntekijää ja yli 650 000 kuukausittaista käyttäjää. Lompakko tuki yli 2 500 lohkoketjuverkkoa, mukaan lukien Cardano ja Midnight.

Yhteys Emurgoon ja SecondFi-hyökkäykseen

Ctrl Wallet ilmoitti 29. huhtikuuta siirtymisestään Emurgon alaisuuteen. Tuolloin yhtiö totesi, että sen moniketjuarkkitehtuuri jatkaisi toimintaansa SecondFi-lompakon sisällä.

SecondFi on Cardanolle rakennettu ei-hallinnollinen alusta, jonka on kehittänyt Emurgo, Cardanon kaupallinen haara. Huhtikuussa 2026 projekti uudelleenbrändättiin Yoroi Walletista.

Kesäkuun 24. päivänä SecondFi-haavoittuvuus mahdollisti hyökkääjien tyhjentää käyttäjien varoja. Arvioidut vahingot olivat noin 16 miljoonaa ADA:a, arvoltaan noin 2,4 miljoonaa dollaria tuolloin.

Muutamaa päivää myöhemmin SecondFi esitti korvaussuunnitelman kärsineille käyttäjille. Projektin mukaan tapaus vaikutti 374 osoitteeseen. Tiimi kertoi myös onnistuneensa turvaamaan noin 129 miljoonaa ADA:a hätätoimenpiteillä ja siirtäneensä nämä varat riippumattomalle kolmannen osapuolen säilyttäjälle. Ne pysyvät siellä, kunnes varmennus- ja palautusprosessi on valmis.

Mikä lompakko kannattaa valita

Ctrl Walletin tapaus osoittaa, että edes ei-hallinnolliset verkkolompakot eivät suojaa käyttäjiä kaikilta riskeiltä. Muodollisesti tällaiset palvelut eivät säilytä varoja suoraan ja antavat käyttäjille hallinnan siemenlauseeseen, mutta ne ovat silti ohjelmistotuotteita. Jos sovellukseen, laajennukseen tai infrastruktuuriin ilmestyy haavoittuvuus, käyttäjien varat voivat olla vaarassa.

Tästä syystä monet sijoittajat käyttävät laitteistolompakoita (hardware wallets) suurten määrien pitkäaikaiseen säilytykseen. Tällaiset laitteet säilyttävät yksityiset avaimet offline-tilassa eivätkä siirrä niitä selainlaajennukseen tai mobiilisovellukseen. Tämä vähentää varkausriskiä verkkolompakon hakkeroinnin, haitallisen päivityksen, tietojenkalastelusivuston tai saastuneen laitteen kautta.

Laitteistolompakko ei kuitenkaan poista perusturvasääntöjen tarvetta. Käyttäjien on silti säilytettävä siemenlauseensa turvallisesti, tarkistettava osoitteet ennen varojen lähettämistä eikä koskaan syötettävä palautuslausetta verkkosivustoille tai sovelluksiin. Johtopäätös on yksinkertainen: ei-hallinnollinen pääsy on tärkeää, mutta se ei tarkoita täydellistä turvallisuutta. Mitä suurempi summa ja mitä pidempi säilytysaika, sitä enemmän kylmäsäilytyksessä (cold storage) on järkeä.

Muistutuksena, Aztec Connect -haavoittuvuus paljasti vanhentuneisiin DeFi-sopimuksiin liittyvät riskit.

Tämä materiaali saattaa sisältää kolmansien osapuolten mielipiteitä, eikä mikään tällä verkkosivulla oleva tieto tai data muodosta sijoitusneuvontaa Vastuuvapauslausekkeemme mukaisesti. Vaikka noudatamme tiukkaa Toimituksellista Integriteettiä, tämä julkaisu saattaa sisältää viittauksia kumppaneidemme tuotteisiin.