Signal, ニュース, ...

Signal|SecondFi、慌てて資金を動かす前に ― ステーカーが踏みやすい「自衛の罠」

, …
約7分

SecondFi(旧 Yoroi)のインシデントを受けて、Cardano の著名な開発者である Pi Lanningham 氏(Sundae Labs/DRep)が、自身の取った対処と注意点を公開しました。資金を守ろうと「自分で動かす」ときに、かえって損をしてしまう落とし穴があるという内容です。これはステーキングで報酬を受け取る人 ― つまり SIPO に委任してくださっている皆さんに、そのまま当てはまります。

退避されたとされる約 1.29 億 ADA は、6 月 26 日朝の時点でも単一の新しいアドレスに集約されたまま静止しており、取引所への転送は確認されていません。SIPO はこの資金を引き続き監視しています。そのうえで本記事は「資金がどこへ向かうか」ではなく、「今あなたが何をすべきでないか」に絞って整理します。慌てて動くことが、最大のリスクになりうるためです。

■ 著名開発者が「明示的な助言はしない」と言った理由

Pi 氏のスレッドで印象的なのは、彼が「こうすべきだという明示的な助言はしない」と繰り返している点です。理由はこう説明されています ― この攻撃には非常に多くの細かな事情(ニュアンス)があり、健全に見えるアドバイスでさえ、状況次第ではかえって資金を失わせる例外を含むから。

彼が共有したのは「正解の手順」ではなく、あくまで自分が取った行動でした。手持ちのウォレットの大半は鍵が漏れていなかったため、彼の対応は SecondFi アプリを無効化し、修正を待つこと ― つまり「動かさない」でした。鍵が既に漏れていた一つだけを、すべての送金内容を一つひとつ検証したうえで移しています。

第一線の開発者ですら、これほど慎重に、そして「真似してとは言わない」という態度を取る。ここに今回の本質があります。仕組みのすべてを理解していれば安全に動かす道はあるが、理解しないまま焦って動けば、ミスを犯す道もある ― これが彼の中心的なメッセージです。

■ 最大の落とし穴 ―「ADA だけ送る」と資産が危険な場所へ戻る

では、その「焦って動くと損をする」具体例とは何か。Pi 氏が挙げた代表的な落とし穴は、Cardano の「お釣り」の仕組みに関わります。

Cardano は、送金するときにお釣りが自分のアドレスに戻ってくる仕組み(UTxO モデル)です。さらに一部のウォレットは、最初の送金の際にステーキング報酬を自動で引き出し、それを送り先ではなく自分のウォレットへ戻します

ここに罠があります。もし侵害された(危険な)ウォレットから慌てて ADA だけを送ろうとすると、トークンや NFT(ネイティブ資産)、そして自動で引き出された報酬が、「お釣り」として元の侵害アドレスに戻ってしまうのです。安全な場所へ逃がしたつもりが、資産が危険な場所へ逆戻りし、さらなる損失にさらされます。

たとえるなら、燃えている家から現金だけ持って逃げたら、貴金属が玄関に戻されてしまい、結局その燃える家に置き去りになるようなものです。だからこそ Pi 氏は、移すなら ADA だけでなくすべてのネイティブ資産を明示的に送り、すべての送金内容(お釣りの戻り先)を一つずつ検証したと述べています。この検証を抜きに「とりあえず ADA を逃がす」のが、最も危険な早とちりです。

■ ステーカーへの直撃 ― 報酬の引き出し・再委任は今は控える

この落とし穴は、SecondFi 公式の最新の注意喚起とも一致します。公式は根本原因(署名のたびに公開データから秘密鍵を再構成できてしまう「決定論的ノンス派生」の欠陥)を開示したうえで、ステーキングをする人に向けて、踏み込んだ警告を出しています。

別のウォレットを使ってステーキング報酬を引き出す場合でも、その報酬が露出済みのアドレスへ回ることがあり、ネットワークを監視する攻撃者に先回りされて掃き出される恐れがある。

かみ砕くと、影響を受けた可能性のあるシードでは、当面ステーキング報酬の引き出しや委任の変更をしないほうがよい、ということです。報酬の引き出しも一つの署名・送金であり、上で見た「お釣りが危険なアドレスへ戻る」経路に乗ってしまうおそれがあるためです。委任してくださっている皆さんに直接関わる、最も実務的な注意点です。

SIPO のプール運営そのものは正常で、委任の設定(どのプールに預けているか)が消えるわけでもありません。慌てて委任先を操作する必要はありません。公式の手順が出るまでは「動かさない」。これが現時点で最も安全な選択です。

■ もうひとつの自衛 ― 「被害に遭った」と公言しない

Pi 氏はもう一点、強く注意を促しています。「水に血が流れれば、サメが寄ってくる」。混乱に乗じて、助けを申し出る人や「サポート」を名乗る連絡が必ず現れます。そして人は、自分で思うほど誘導(マニピュレーション)に強くありません。

ここから導かれる鉄則はシンプルです。「自分は被害を受けたかもしれない」と公に認めないこと。公言した瞬間、あなたは詐欺師にとって名指しの標的になります。実際、「復旧ツール」「補償」「claim 代行」をうたう偽の DM や偽サイトが急増しています。SecondFi は「こちらから最初に DM を送ることはなく、リカバリーフレーズを尋ねることもない」と明言しています。

最後に、影響を受けたかどうかの確認方法について。自分のアドレスが影響を受けたかは、ウォレットを何かに接続しなくても、cardanoscan や adastat で残高を読むだけで確認できます。コミュニティ製のチェックツールも出回っていますが、事件の最中は、たとえ「読み取り専用」をうたうものでも安易に接続しないのが安全側です。リカバリーフレーズは、いかなるサイトにも・いかなる相手にも、絶対に入力しないでください。

■ まとめ ― 今やるべきこと/やってはいけないこと

  • 影響を受けていない・不安なら「動かさない」(構造的に最も安全)。確認は cardanoscan / adastat の読み取りで十分。
  • 今やる唯一のことは support.secondfi.io でのチケット(請求)提出
  • 慌てて ADA だけ送らない(お釣りで資産が危険なアドレスへ戻る)。
  • 当面、ステーキング報酬の引き出し・委任の変更をしない
  • 被害を公言しない・リカバリーフレーズをどこにも入力しない・「サポート」DM を信じない

確定していないこと(資金の最終的な行方、保管機関の正体、補償の枠組み)は、引き続き公開台帳と公式発表の両面から追いかけ、続報でお伝えします。焦らないことが、いちばんの自衛です。

※ 開示(COI):SIPO は Cardano の SPO・DRep です。本件は当社が日々関わるエコシステムの出来事であり、委任者のなかに旧 Yoroi / SecondFi の利用者がいる可能性を踏まえ、利用者保護を最優先に整理しています。SIPO のステークプール運営そのものは本インシデントの影響を受けていません。なお本記事は特定の操作を推奨するものではなく、公式の事後報告と手順を待つことを基本方針とします。

参考リンク・一次ソース

カルダノエコシステムとSITION

お問い合わせ

Contact Us
SIPOのステーキングサービス、Cardano ADA、ADAの購入方法から保管方法についてご興味、ご質問がある方はこちらのフォームからお問い合わせください。24時間以内にメールにてご返信いたします。

最新投稿