SecondFi Japanは2026年7月4日、SecondFi/Yoroi系ウォレットのセキュリティ・インシデントをめぐり、被害資産の返還を目的とする専用アドレスを公表しました。
今回の発表で重要なのは、SecondFiが本件を「4件の資産流出事象」と整理し、そのうち3件が外部攻撃者によるものだと説明した点です。SecondFiによれば、この3件により、およそ1,600万ADAの被害が発生しました。
同時にSecondFiは、4件すべてにおいて影響を受けたウォレット保有者に対し、被害資産をそのままの形で返還できるよう対応を進めているとしています。その返還を目的として、EMURGOにより専用の返還アドレスが開設された、というのが今回の更新です。
返還専用アドレスは次のとおりです。
addr1qyvvn9e9ulvzw2nvgkwraxwrla4a28l7gmduk7jru2rw9kdxkls8aczwgg8u44nj87uaq50rgcjulcxtzv9q8j0g2lss9kv2ss
ただし、ここで誤解してはいけません。
このアドレスの公表は、利用者が独自判断で送金、署名、入力、請求操作を始める合図ではありません。SecondFiの公式KBでも、利用者参加を必要とする復旧行動はまだ始まっておらず、公式導線以外の案内には従わないよう注意喚起されています。
今回の更新は、「返還のための受け皿が示された」段階です。返還条件、個別ウォレットの請求可否、手続きの開始時期、最終的な監査報告は、まだ続報を確認する必要があります。
今回の更新で変わったこと
今回の発表は、これまでの「公式チェッカー」「ハードウェアウォレット移行ガイド」に続く、復旧プロセスの次の更新です。
整理すると、変化は3つあります。
- SecondFiが、事案を4件の資産流出事象として説明した
- そのうち3件を外部攻撃者によるものとし、被害額を約1,600万ADAと説明した
- EMURGOが、影響を受けた利用者への返還を目的とする専用アドレスを開設した
またSecondFiは、緊急対応により確保した資産について、4件目の事象に関する資産を含めて現在も安全に保全されていると説明しています。これらの資産も、影響を受けた利用者への返還にあてる方針です。
つまり、今回の焦点は「事故の説明」だけではありません。
攻撃者による流出分、緊急対応で確保された資産、EMURGOによる返還用アドレス、今後の請求・返還手続き。この4つをどう接続して、影響を受けたウォレット保有者へ資産を戻すのかが、次の確認点になります。
返還専用アドレスが意味するもの
ブロックチェーン上のアドレスが公表されると、資産の移動や残高を外部から観測しやすくなります。これは、返還プロセスの透明性にとって重要です。
一方で、アドレスが公開されたことだけで、返還が完了したわけではありません。
見るべきポイントは、次のように分ける必要があります。
- このアドレスへ、どの資産が、いつ、どの経路で入るのか
- 影響を受けたウォレットの判定基準がどのように確定するのか
- ユーザーごとの返還額や対象資産がどのように確認されるのか
- 返還の請求手続きが、どの公式導線で始まるのか
- 独立監査の結果がどこまで公開されるのか
特に、アドレス残高だけを見て「返還済み」「補償完了」「不足している」と判断するのは早計です。SecondFiは、独立監査がシステムと調査結果を確認中であり、最終化後に共有する意向を示しています。
今の段階では、オンチェーンで見える情報と、SecondFi/EMURGOが公式に説明する返還手続きの両方を確認する必要があります。
利用者がいま注意すべきこと
SecondFiは今回の日本語ポストでも、秘密鍵、リカバリーフレーズ、ウォレット認証情報などを尋ねることはないと明記しています。また、SecondFi側から先にダイレクトメッセージを送ることもないと説明しています。
公式チャネルとして示されているのは、次の導線です。
- X:
@secondfiapp - X:
@secondfi_jp - サポートポータル:
support.secondfi.io - 資産回復用ウォレットチェッカー:
checker.secondfi.io
今回のアドレス公表後は、なりすましがさらに増える可能性があります。
特に警戒すべきなのは、次のような案内です。
- 返還を受けるためにシードフレーズを入力させる
- 復旧や請求のために秘密鍵や復元フレーズを求める
- 影響確認のためにトランザクション署名を求める
- 返還専用アドレスへユーザー自身が送金するよう促す
- SecondFiやEMURGOを名乗るDM、メール、検索広告、偽サポートサイトへ誘導する
公式の返還用アドレスが出たからこそ、「このアドレスに送れば返還される」「このフォームに入力すれば請求できる」といった偽導線が作られやすくなります。
利用者側の基本線は変わりません。
公式導線だけを確認する。
秘密情報を渡さない。
署名を求めるチェッカーに触らない。
DMやメールから復旧手続きを始めない。
返還手続きの開始は、SecondFi公式発表を待つ。
SIPOの見方:ウォレット層の復旧は、透明性と誤操作防止の両方が必要
今回の件は、Cardanoプロトコル本体、SPO運用、コンセンサス、ステーキングそのものの障害として扱うべきものではありません。
問題の中心は、SecondFi/Yoroi系ウォレット層で発生したセキュリティ・インシデントと、その後の資産保全、返還、利用者保護です。
ただし、ウォレット層だから小さい問題だ、という話でもありません。利用者が最初に触れるのはウォレットであり、ウォレットの生成、署名、復元、移行、サポート導線が安全でなければ、自己管理の前提は揺らぎます。
今回の返還専用アドレス公表は、復旧プロセスが「説明」から「返還の受け皿」へ進んだことを示す重要な更新です。
一方で、利用者にとって最も危険なのは、正規の返還より先に、偽の返還手続きへ誘導されることです。
SecondFi、EMURGO、Intersect Security Council、独立監査、公式チェッカー、公式サポート。関係する主体や導線が増えるほど、読者は「誰が何を保証しているのか」を切り分ける必要があります。
今回の段階で言える結論は、次の通りです。
返還専用アドレスは公表された。
約1,600万ADAの外部攻撃被害について、返還に向けた準備は前進した。
確保済み資産も返還にあてる方針が示された。
しかし、個別請求、最終判定、返還開始、監査報告はまだ確認待ちである。
今は、進展を確認しながら、誤った復旧操作を避ける段階です。
次に見るポイント
今後は、次の情報が出るかを確認する必要があります。
- 独立監査レポートの公開範囲
- 影響ウォレットの最終判定基準
- オンチェーン請求ポータルの正式公開
- 返還専用アドレスへの入出金状況と説明
- 4件目の事象で確保された資産の扱い
- non-ADA資産を含む返還対象の整理
- 日本語利用者向けの具体的な請求手順
特に、返還開始時には偽サイトや偽サポートが増える可能性があります。公式X、公式サポート、公式チェッカー以外から始まる案内は、慎重に扱うべきです。
参考・出典
- SecondFi Japan公式X / 資産返還専用アドレスのご案内
https://x.com/secondfi_jp/status/2073367750408548812 - SecondFi公式KB / Security Incident Update
https://kb.secondfi.io/en/article/security-incident-update-dxv72a/ - SecondFi公式チェッカー
https://checker.secondfi.io/ - SecondFi公式サポート
https://support.secondfi.io/ - SecondFi公式サイト
https://secondfi.io/
透明性メモ
本記事は、SecondFi Japan公式Xポストと、SecondFi公式KB「Security Incident Update」に掲載された同内容の英語更新を照合し確認した事実にもとづいています。返還用アドレス、約1,600万ADA、4件の資産流出事象、外部攻撃者3件、公式チャネル、詐欺注意喚起の記述は、公式KB上でも確認しました。
本稿は、特定ウォレットの安全・危険、返還資格、返還額、返還開始時期、送金判断、署名判断を断定するものではありません。シードフレーズ、秘密鍵、復元フレーズ、ウォレット認証情報は、いかなる相手にも共有しないでください。返還を装って署名、送金、秘密情報入力、アプリ導入、DM対応を求める導線は、詐欺として扱ってください。
