Cardano のウォレットアプリ「SecondFi」が、6 月下旬に発生した攻撃を受けた復旧プロセスの最新状況を公表しました。今回の更新では、資産の返還・安全な移動・オンチェーン復旧という 3 つの軸が示され、EMURGO が返還用ウォレットへ資金を拠出し、確保済み資産の保管方法を Intersect と協議していることが明らかになりました。単なる「事故対応」ではなく、Cardano の主要機関が連携して利用者資産を取り戻そうとする、エコシステム協調復旧の現在地として読み解けます。SPO の視点から、何が起き、いま何が動いているのかを整理します。

Signal｜SecondFi、慌てて資金を動かす前に ― ステーカーが踏みやすい「自衛の罠」

📡Signal｜SecondFi インシデント全整理 ― 129M ADA は今どこへ向かうのか

事件の骨格——アドレスレベルの脆弱性から始まった

SecondFi は、自社の Cardano ウォレット生成ソフトウェアにおけるアドレスレベルの脆弱性が原因だったと説明しています。公式の技術説明では、秘密鍵を再構成できてしまう「決定論的な nonce 導出の欠陥（deterministic nonce derivation flaw）」が指摘されました。これにより、複数回にわたる外部からの攻撃で約 1,600 万 ADA（被害時点で約 240 万ドル相当）が 374 のアドレスから流出したとされています。

一方で SecondFi は、緊急の救済措置として約 1 億 2,900 万 ADA（約 1,850 万ドル相当）を独立した第三者カストディアンへ移して確保したと説明しています。被害額そのものより、確保された資産のほうが大きいという構図です。

復旧プロセスの 3 本柱

今回の更新で、復旧は 3 つの軸に整理されました。

1 つ目は利用者資産の返還です。攻撃者にドレインされた資産については、EMURGO が返還専用の「Asset Recovery Wallet」へ資金を拠出しました。緊急対応で確保した資産については、安全に保管・返還するための適切なカストディ機構を Intersect と協議しているとされています。

2 つ目は資産の安全な移動です。当初の指針は「動かさずに待つ（stay put）」でした。これは攻撃手口を完全に把握するまで利用者を追加リスクにさらさないための意図的な措置だった、と SecondFi は説明しています。その後、Intersect Security Council との協議を経て、もし資産を移すのであれば「ハードウェアウォレットのみを推奨する」という指針に更新されました。

3 つ目はオンチェーン復旧です。SecondFi は、利用者資産を安全に返すためのオンチェーン復旧策を進めており、技術的評価の結果これが現時点で最も安全かつ効率的な経路だと判断したとしています。この策を Cardano コミュニティ主導のタスクフォースと協働で開発・検証・実行していくとされています。

注意点——アプリ削除とシードフレーズ

利用者にとって重要なのは、SecondFi が「アプリを削除しないこと」「アプリとシードフレーズの両方を保持すること」を強く求めている点です。これらは現在進行中の資産復旧プロセスで必要になるためで、自己判断でウォレットを移したり消したりすると、かえって返還手続きを複雑にしかねません。

「2 週間」が動く可能性

これまでの説明では、復旧の目安として「およそ 2 週間（1 週間で解決策を構築し、もう 1 週間でテストと検証を行う）」という時間軸が示されてきました。しかし今回の更新では、オンチェーン復旧が当初の想定より複雑で、この 2 週間という見積もりを超える追加の時間を要する可能性があると明記されました。期日を急いで安全性を損なうより、検証を優先する姿勢と読めます。

SPO 視点——エコシステム協調復旧という前例

今回の対応で注目すべきは、単一プロジェクトの自助努力にとどまっていない点です。返還資金の拠出は EMURGO、カストディ機構の協議は Intersect、そして復旧策の検証はコミュニティ主導のタスクフォース——という形で、Cardano の主要機関とコミュニティが役割を分担しています。

Cardano が掲げてきたオンチェーンの透明性とガバナンスは、こうした有事においてこそ試されます。資産の所在・確保・返還の各段階が検証可能な形で進むかどうかは、エコシステム全体の信頼設計にとっての試金石です。SPO・DRep の立場からは、復旧の進捗だけでなく、その過程がどれだけ公開・検証可能な形で運ばれるかを見ておきたいところです。

なお、攻撃者（ホワイトハットと目される主体）の身元は現時点で公表されておらず、確保された資産がどのカストディ機構の下で、どの手続きで返還されるのかは、今後の更新で確認すべき論点として残っています。

いま利用者が取るべき行動

復旧プロセスが進む間、フィッシングが多発しています。SecondFi は、自社が秘密鍵・シードフレーズ・ウォレット認証情報を要求したり、資産の移動を指示したりすることは一切なく、こちらから先に DM を送ることもないと改めて強調しています。

SecondFi will NEVER request private keys, seed phrases, wallet credentials, or request asset transfers under any circumstances. We will never DM you first.

公式チャネル以外で「資産を移せ」「ウォレット情報を送れ」と指示するメッセージは、すべて詐欺として扱ってください。サポートは公式サポートポータル（support.secondfi.io）からのチケット送信のみが正規の窓口です。

一次ソース・参照

• SecondFi 公式 X「Recovery Process Update」（@secondfiapp）
• SecondFi 公式サポート FAQ: https://kb.secondfi.io/en/article/security-incident-update-faq-dxv72a/
• 公式サポート窓口: https://support.secondfi.io