重要ポイント:
- SecondFiのウォレット生成ソフトウェアの欠陥により秘密鍵が露呈、6月23日に不正アクセスが発生
- 確認済みの損失は1600万ADA(240万ドル)、SlowMistは2000万ドル超と推計
- SecondFiは業務を停止し、100万人超のユーザーに対し直ちに資金を移すよう要請
戻る
SecondFiの脆弱性、Cardanoウォレットで2000万ドル超の被害—秘密鍵生成に欠陥
SecondFi(旧称Yoroi)のCardanoウォレットが6月23日、ウォレット生成ソフトウェアの欠陥を悪用した攻撃者により、少なくとも1600万ADAを喪失した。
「根本原因は、当社独自のCardanoウォレット生成ソフトウェアの問題に特定されました」とSecondFiは声明で述べ、口座残高を凍結しメンテナンスモードに入ったことを明らかにした。
ブロックチェーンセキュリティ企業SlowMistは、総被害額が2000万ドルを超える可能性があり、最大1億2900万ADAに影響が及ぶと、創業者であるYu Xian(別名Cos)の見解として推定している。当初の1600万ADAという試算とSlowMistの予測との乖離は、攻撃者が秘密鍵へのアクセスを維持している可能性があるウォレット関連の不正アクセス被害の評価が困難であることを反映している。SecondFiは約178のウォレットが直接侵害されたと特定した。
この不正アクセスは、Cardanoエコシステムの信頼性の核心を突くものだ。Cardanoを支える3つの創設組織のひとつであるEmurgoは、2026年4月にSecondFiへブランド変更される前のYoroiを当初開発していた。現在、100万人以上のユーザーが自身のウォレットを脆弱なものとして扱うよう勧告されており、今回のインシデントはEmurgoが補償責任を負うのかという疑問を提起しているが、同組織はまだこの問題に回答していない。
SecondFiは、脆弱性をWebベースのウォレット生成システムに特定した。同システムは新規ウォレットと秘密鍵の作成を処理する。同社チームによると、そのプロセスの欠陥により、攻撃者が特定のウォレットに関連する秘密鍵を生成またはアクセスできるようになったという。ハードウェアウォレットと、侵害された生成プロセスにリンクしていないシードフレーズは影響を受けなかった。
同チームは残高の完全なスナップショットを取得し、IOG、Cardano Foundation、IntersectMBO、SundaeSwapと連携して対応を進めている。SecondFiはまた、外部のブロックチェーンセキュリティ企業と技術レビューを最終調整し、被害範囲を確認している。
セキュリティアナリストによると、不正アクセス発生から数時間後、詐欺師たちがSecondFiの公式通信チャネルを模倣し、懸念を持つユーザーから認証情報を収集するため偽の復旧ユーティリティを配布し始めたという。
Cardanoエコシステム全体にとって、このインシデントは、アプリケーションレイヤーのツールがユーザーを運用上のリスクにさらす場合、チェーンレベルのセキュリティだけでは不十分であることを示す警告となった。SecondFiは、通常業務をいつ再開するか、また影響を受けたユーザーに補償を行うかについては明らかにしていない。
本記事は情報提供のみを目的としており、投資助言を構成するものではありません。
