カルダノ(Cardano)エコシステムで広く利用されているウォレットプロジェクト「SecondFi」において、ウェブウォレット生成ソフトウェアの欠陥を突いたセキュリティ侵害が発生しました。プロジェクト側の初期調査では約1,600万ADA(約240万ドル相当)の流出が確認されていますが、ブロックチェーンセキュリティ企業「SlowMist」は、被害額が2,000万ドルを超える可能性があると指摘しています。本件は、カルダノエコシステムの主要なインフラにおける深刻な脆弱性露呈として、業界内で波紋を広げています。
セキュリティ侵害の概要と被害規模の乖離
SecondFi(旧Yoroiウォレット)は2026年6月23日、独自のウェブウォレット生成ソフトウェアにおける欠陥が原因で、不正な資金引き出しが発生したことを明らかにしました。
プロジェクトチームの発表によると、約178のウォレットアドレスから、約1,600万ADA(当時約240万ドル相当)が流出する被害が確認されています。これに加え、被害に遭ったアカウントからは、公表されていない数のトークンやNFTも奪われたと報告されています。
一方で、ブロックチェーンセキュリティ企業「SlowMist(スローミスト)」の創設者であるYu Xian(Cos)氏は、ハッカーのアドレスとされる資金移動を分析した結果、被害額は1億2,900万ADAおよびその他のトークンに及び、総額2,000万ドルを超える可能性があるとの見解を示しています。この被害額の相違については、今後の独立した監査結果によって明らかになる見通しです。
脆弱性の技術的背景とユーザーへの影響
今回の脆弱性は、SecondFiが提供するウェブウォレットの生成システム(秘密鍵やシードフレーズの作成プロセス)に存在した欠陥に起因しています。
SecondFiチームの分析によると、今回の問題はカルダノのベースプロトコル自体の脆弱性ではなく、アドレスレベルでのセキュリティリスクです。トランザクションの署名時にリスクが生じるため、被害を避けるためには、シードフレーズを他のカルダノウォレットアプリにインポートして復元するだけでは不十分とされています。
そのため、チームはユーザーに対し、影響を受けているウォレットから全く新しいシードフレーズを持つ別のウォレットへ、速やかに資金を移動(マイグレーション)させるよう強く推奨しています。
運営側の対応と業界への影響
事態の発覚後、SecondFiはプラットフォームの運用を一時停止し、メンテナンスモードへ移行しました。現在、第三者の独立したブロックチェーンセキュリティ企業と協力し、技術的なレビューを進行しています。また、カルダノ財団(Cardano Foundation)やInput Output Global(IOG)、IntersectMBO、SundaeSwapなどのエコシステム内の主要組織と連携して事後対応にあたっています。
SecondFiはかつて「Yoroi」として知られ、カルダノの創設組織の一つであるEmurgo Labsによって構築された自己管理型(セルフカストディ)ウォレットでした。エコシステム内で信頼されていた主要インフラにおける今回のセキュリティ侵害は、セルフカストディウォレットの安全性確保の難しさを改めて浮き彫りにし、エコシステム全体の信頼性に影響を与える可能性があります。なお、被害ユーザーに対する補償の具体的な日程や、運営元による補償方針の確約は現時点で明らかにされていません。
ポイント
- カルダノエコシステムを代表するウォレットプロジェクトであるSecondFiでセキュリティ侵害が発生しました。
- 脆弱性の原因は独自のウェブウォレット生成ソフトウェアの欠陥にあり、秘密鍵やシードフレーズが露出したとされています。
- 流出額について、プロジェクト側は約1,600万ADAと発表している一方、セキュリティ企業であるSlowMist社は2,000万ドルを超える可能性があると指摘しています。
- アドレスレベルの脆弱性であるため、単に他のウォレットアプリにシードフレーズをインポートするだけではリスクが解消されず、完全に新規のウォレットを作成して資金を移動することが推奨されています。
- カルダノの主要なインフラを担ってきたプロジェクトの脆弱性発覚であり、セルフカストディウォレットの信頼性とセキュリティ管理の重要性を再認識させる事例として注目されます。