Cardanoの最もよく知られたウォレットプラットフォームの1つに関連するセキュリティ侵害により、エコシステムのインフラにおける根本的な脆弱性が露呈しました。そして、確認されている数字よりも、実際の被害ははるかに大きい可能性があります。2026年6月23日に公表されたSecondFi Cardano侵害は、数百のウォレットが侵害され、模倣詐欺への警告を引き起こし、ネットワークの創設組織の最高レベルにおける説明責任について緊急の疑問を投げかけています。
Summary
主なポイント
- SecondFiは、2026年6月23日に、ウェブベースのウォレット生成システムの欠陥に起因する重大なセキュリティ侵害を公表しました。
- 約178ウォレットが侵害されたことが確認され、約1,600万ADAトークン(約240万ドル相当)の盗難が検証されています。
- ブロックチェーンセキュリティ企業SlowMistは、潜在的な損失が2,000万ドルを超え、最大1億2,900万ADAトークンに及ぶ可能性があると予測しています。
- SecondFi(旧称Yoroi)は、Cardanoの3つの創設主体の1つであるEmurgoによって構築されましたが、被害ユーザーへの補償を約束していません。
- 詐欺行為者がSecondFiを装って偽の復旧ツールを配布しており、ユーザーは資金を直ちに新しいウォレットへ移行するよう勧告されています。
SecondFiによって公表された重大なセキュリティ侵害
この侵害は、1つの壊滅的な欠陥、すなわちSecondFiのウェブベースのウォレット生成システム内部に潜んでいた欠陥にまでさかのぼることができます。その欠陥により、ユーザーの秘密暗号鍵が露出しました。これは、ユーザーがそれに気づくことなく、金庫の暗証番号を他人に渡してしまうのと同じデジタル上の意味を持ちます。
侵害の範囲と原因
予備調査により、約178ウォレットが直接侵害されたことが確認されました。これまでに検証された盗難額は、現在の為替レートで約240万ドル相当の1,600万ADAトークンに達しており、その他の各種デジタル資産やNFTも含まれています。
しかし、これらの数字は真のリスクを過小評価している可能性があります。ブロックチェーンセキュリティ専門家であるSlowMistは、この侵害を分析し、総損失額が2,000万ドルを超え、最大1億2,900万ADAトークンに達する可能性があると予測しています。確認済みの数字と予測値の間にあるこの巨大なギャップは、特定の、そして憂慮すべき現実を示しています。すなわち、多くの脆弱なウォレットはまだ資金を抜き取られていないものの、それらにアクセスする鍵は、最初の欠陥を悪用した人物の手中に残っているということです。
この違いは非常に重要です。確認された盗難はすでに起きた事象を反映しています。一方、SlowMistの予測は、影響を受けたユーザーが行動を起こさなかった場合に、これから起こり得る事象を反映しています。
SecondFiが講じた即時対応
SecondFiは、口座残高を凍結し、メンテナンスモードに移行することで迅速に対応しました。100万人を超えるユーザーベースを抱える同プラットフォームは、侵害されたシステムを通じて生成されたすべてのウォレットを潜在的に露出しているものとして扱う緊急勧告を発出しました。通常運用は再開されておらず、復旧のタイムラインも提示されていません。
予測される財務的影響と継続する脅威
確認されている240万ドルの盗難だけでも十分に深刻ですが、問題の真の規模を浮き彫りにしているのはSlowMistの分析です。同社が予測する2,000万ドル超の損失、すなわち確認額の約8倍という数字は、多数のリスクにさらされたウォレットが手つかずのまま放置されており、その侵害された鍵がいつでも悪用され得る状態にあることを示しています。
ユーザーを狙う偽の復旧詐欺
元の侵害だけでも十分深刻であるにもかかわらず、二次的な脅威がほぼ即座に現れました。詐欺行為者たちは現在、公式のSecondFiコミュニケーションチャネルを装い、パニック状態のウォレット保有者から認証情報を収集することを目的とした偽の復旧ツールを配布しています。
これは、注目度の高い暗号資産インシデントの後に繰り返し観測されているパターンです。攻撃者は、侵害によって生じた混乱と緊急性を悪用し、すでに被害を受けたのと同じユーザーベースに対してフィッシング攻撃を仕掛けます。非公式の復旧ツールとやり取りする者は、損失を大幅に拡大させるリスクを負うことになります。ユーザーは、検証済みの公式コミュニケーションのみに依拠し、求められていない復旧支援はすべて危険信号として扱うべきです。
SecondFiの組織的背景とエコシステムへの影響
今回の侵害がこれほどの重みを持つ理由を理解するには、SecondFiが何であり、どこから来たのかを正確に知る必要があります。
YoroiからSecondFiへの移行
このプラットフォームがSecondFiとなったのは2026年4月であり、それ以前はYoroiという名称で知られていました。この名前は、長年のCardanoユーザーにはおなじみでしょう。Yoroiは、Cardanoブロックチェーンネットワークを創設した3つの主体の1つであるEmurgoによって構築された、軽量のセルフカストディ型ウォレットでした。フルノードを稼働させることなく、自分自身で鍵を管理したいADA保有者にとっての定番ソリューションとして機能していました。
CardanoにおけるEmurgo創設者としての重要性
EmurgoがCardanoと深く制度的に結びついているという事実は、今回の事案が一般的なサードパーティサービスの障害ではないことを意味します。創設組織によって構築・維持されているインフラ内部でのセキュリティ侵害は、無関係なウォレットプロバイダーでの侵害よりもはるかに大きな評判上の重みを持ちます。これは、エコシステムの「体制側」の信頼性に疑問を投げかけるものであり、Cardanoコミュニティを、その中核機関の1つがこの規模の危機にどう対処するかを見守らざるを得ない、不安な立場に置いています。
Cardanoは、分散型金融インフラの構築に何年も費やしてきました。創設主体に直接結びついたこの規模の侵害は、その間に積み上げてきた信頼に大きな負荷をかけることになります。
ユーザーへのガイダンスと補償をめぐる不透明な将来
SecondFiまたは旧Yoroiウェブウォレットを一度でも利用したことがある人にとって、推奨される行動方針は即時かつ明確です。
影響を受けたユーザーへの推奨事項
セキュリティ専門家はユーザーに対し、次のように強く助言しています。
- 別の影響を受けていないプロバイダーを通じて、新しいウォレット鍵を生成する。
- SecondFiまたはYoroiのウェブベースシステムを通じて作成されたウォレットから、すべての資金を遅滞なく移転する。
- SecondFiを名乗る、求められていない復旧ツールや連絡には一切関与しない。
この緊急性は現実のものです。SlowMistのデータによれば、合計で最大1億2,900万ADAを保有するウォレットが脆弱である可能性があり、悪意ある行為者が戻ってきて資金を抜き取る前に、それらの資金を移動させるための時間は限られています。
補償に関するEmurgoのコミットメント欠如
おそらく最も重大で未解決の問題は、Emurgoがユーザーの被った損失に対して財政的責任を負うかどうかです。これまでのところ、同組織は補償を行う意向や、払い戻しプロセスを設ける意向を一切示していません。監査結果も公表されておらず、通常運用への復帰タイムラインも共有されていません。
この沈黙を維持するのは難しいでしょう。100万人を超えるユーザーと、8桁台(数千万ドル)に達する可能性のある損失を抱える中で、Cardanoコミュニティは、危機に対処する創設レベルの機関に対して適用するのと同じ基準でEmurgoの対応を評価することになります。同組織がこの問いにどう答えるか、あるいは答え続けないのかは、今後何年にもわたりエコシステム内での立ち位置を決定づける可能性があります。
FAQ
SecondFiのセキュリティ侵害の原因は何ですか?
SecondFiのウェブベースのウォレット生成システムに存在した欠陥により、ユーザーの秘密暗号鍵が露出し、影響を受けたウォレットへの不正アクセスが可能になりました。
いくつのウォレットが侵害され、どの程度の損失が発生しましたか?
約178ウォレットが侵害されたことが確認されており、約1,600万ADAトークン(約240万ドル相当)の盗難が検証されています。ブロックチェーンセキュリティ企業SlowMistは、潜在的な総損失額が2,000万ドルを超え、最大1億2,900万ADAトークンに及ぶ可能性があると予測しています。
影響を受けたユーザーは今何をすべきですか?
ユーザーは、代替プロバイダーを通じて直ちに新しいウォレットを生成し、SecondFiまたは旧Yoroiウェブシステムを通じて作成されたウォレットからすべての資金を移転する必要があります。また、詐欺行為者が認証情報を盗む目的でSecondFiを装って活動しているため、求められていない復旧ツールや連絡には一切関与しないようにすべきです。
Emurgoは侵害の影響を受けたユーザーへの補償を約束していますか?
いいえ。Emurgoは現時点で、影響を受けたユーザーに補償を行う計画を示していません。同組織はセキュリティ監査結果を公表しておらず、通常サービス再開のタイムラインも提示していません。
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”SecondFiのセキュリティ侵害の原因は何ですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”SecondFiのウェブベースのウォレット生成システムに存在した欠陥により、ユーザーの秘密暗号鍵が露出し、影響を受けたウォレットへの不正アクセスが可能になりました。”}},{“@type”:”Question”,”name”:”いくつのウォレットが侵害され、どの程度の損失が発生しましたか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”約178ウォレットが侵害されたことが確認されており、約1,600万ADAトークン(約240万ドル相当)の盗難が検証されています。ブロックチェーンセキュリティ企業SlowMistは、潜在的な総損失額が2,000万ドルを超え、最大1億2,900万ADAトークンに及ぶ可能性があると予測しています。”}},{“@type”:”Question”,”name”:”影響を受けたユーザーは今何をすべきですか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”ユーザーは、代替プロバイダーを通じて直ちに新しいウォレットを生成し、SecondFiまたは旧Yoroiウェブシステムを通じて作成されたウォレットからすべての資金を移転する必要があります。また、詐欺行為者が認証情報を盗む目的でSecondFiを装って活動しているため、求められていない復旧ツールや連絡には一切関与しないようにすべきです。”}},{“@type”:”Question”,”name”:”Emurgoは侵害の影響を受けたユーザーへの補償を約束していますか?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”いいえ。Emurgoは現時点で、影響を受けたユーザーに補償を行う計画を示していません。同組織はセキュリティ監査結果を公表しておらず、通常サービス再開のタイムラインも提示していません。”}}]}
本記事は人工知能の支援を受けて作成され、編集チームによる確認を経ています。
