旧YoroiであるSecondFiに何が起こりましたか？

2026年6月23日、EMURGOが構築したYoroiウォレットからリブランドしたCardanoのセルフカストディプラットフォームであるSecondFiは、ウォレット生成ソフトウェアの欠陥により攻撃者がユーザーの秘密鍵にアクセスできるようになったことを開示しました。SecondFiはサービスを一時停止し、メンテナンスモードに入り、ユーザーに資金の移動を促しました。SecondFiは約178のウォレットから約1600万ADA（約240万ドル）が流出し、さらにトークンとNFTも流出したことを確認しました。

SecondFiのエクスプロイトでどれくらいの金額が盗まれましたか？

SecondFiは約178のウォレットから約1600万ADA（約240万ドル）が流出し、さらにトークンとNFTも流出したことを確認しました。別途、セキュリティ企業SlowMistは、潜在的な露出額が2000万ドルを超え、最大で約1億2900万ADAに達する可能性があると推定しましたが、これはまだ流出していないウォレットを対象としたリスクのある最悪のケースの数字であり、確定した損失ではありません。SecondFiは最終的な数字は独立した監査を待つと述べています。

SecondFiハッキングの原因は何ですか？

SecondFiとSlowMistによると、独立した監査が保留中ですが、原因はプラットフォームのネイティブCardanoウェブウォレット生成ソフトウェアが予測可能なランダム性、つまり弱いエントロピーを持つ秘密鍵を生成したことでした。これはスマートコントラクトのバグではなく、鍵生成の欠陥であり、影響を受けたソフトウェアで作成されたすべてのウォレットを一度に露出させる可能性があります。

SecondFiまたはYoroiウォレットを使用していた場合、どうすればよいですか？

影響を受けたソフトウェアを通じて作成されたウォレットは、潜在的に侵害されていると見なしてください。信頼できる監査済みのソフトウェアで新しいウォレットを生成し、資金を移動してください。古いリカバリーフレーズは、その生成方法に弱点があるため、再利用しないでください。SecondFiの公式チャネルに従い、一方的なリカバリーや返金の申し出は無視してください。

SecondFi（旧Yoroi）、Cardanoウォレットの欠陥によりユーザー資金が流出、サービス停止：240万ドルが確定、最大2000万ドルのリスク

June 24, 2026 — By Tony Rabbit in News

旧Yoroiとして知られるCardanoのセルフカストディプラットフォームSecondFiは、ウォレット生成ソフトウェアの欠陥により攻撃者がユーザーの秘密鍵にアクセスできるようになったため、サービスを停止しました。SecondFiは約178のウォレットから約1600万ADA（約240万ドル）が流出したことを確認しましたが、セキュリティ企業SlowMistは、総露出額が2000万ドルを超える可能性があると警告しています。何が起こったのか、影響を受けたユーザーが何をすべきかについて説明します。

EMURGOが構築した長年のYoroiウォレットをリブランドしたCardanoのセルフカストディプラットフォームであるSecondFiは、ユーザー資金が流出するセキュリティインシデントを受けてサービスを停止しました。2026年6月23日のプロジェクトの開示、およびCrypto Briefing、Crypto Times、crypto.newsの報道によると、問題の根本はスマートコントラクトのバグではなく、より根本的なものでした。ウォレットを生成するソフトウェアが予測可能なランダム性を持つ秘密鍵を生成したため、攻撃者が影響を受けたユーザーの鍵にアクセスできるようになりました。

SecondFiは影響を受けた機能を一時停止し、メンテナンスモードに入り、残高のスナップショットを取得し、ユーザーに資金の移動を促しました。このインシデントに関連する数字は、誰が数えるかによって大きく異なり、そのギャップを理解することが最も重要です。

確定した損失と最悪のケースの警告

SecondFi自身の予備評価は控えめな数字です。約178のウォレットが侵害され、当時約240万ドル相当の約1600万ADAが流出し、さらに未指定の量のトークンとNFTも流出しました。疑わしい活動は、2026年6月21日と22日頃に約200件のトランザクションに集中していました。

創設者がCosであるブロックチェーンセキュリティ企業SlowMistは、はるかに大きな数字を発表しました。SlowMistは夜通し攻撃者の動きを追跡し、潜在的な総損失が2000万ドルを超え、最大で1億2900万ADAに達する可能性があると推定しました。キーワードは「潜在的」です。この数字は、欠陥のあるソフトウェアで作成され、まだ流出していないウォレットを対象としたリスク評価であり、盗難が確認された資金ではありません。SecondFiは、正確な損失額は独立した技術監査後に開示されると述べており、この数字を承認していません。正直な表現としては、約240万ドルの流出が確認されており、SlowMistによると最悪のケースでは2000万ドル以上の露出があるということです。

鍵生成の欠陥がこれほど危険な理由

ほとんどのDeFiエクスプロイトはスマートコントラクトを攻撃します。しかし、今回の攻撃はその下にあるものを標的にしました。暗号ウォレットのセキュリティ全体は、秘密鍵が真に予測不可能なランダム性から生成され、誰も推測したり再現したりできないことに依存しています。SecondFiとSlowMistによると、プラットフォームのネイティブCardanoウェブウォレット生成ソフトウェアは予測可能なランダム性を使用しており、それが生成する鍵も同様でした。攻撃者が鍵の生成方法をモデル化できる場合、そのソフトウェアで作成されたすべてのウォレットが一度に露出され、フィッシングやコントラクトのトリックは必要ありません。SecondFiは、この問題はネイティブCardanoウェブウォレット生成に限定されていたと述べました。この説明はプロジェクトとSlowMistによって述べられた原因であり、独立した監査がまだ保留中です。

これは2026年のDeFi攻撃パターンの決定版である

SecondFiのインシデントは、今年のDeFi損失が実際にどこから来ているかを示す典型的な例です。2026年を通じて、盗まれた鍵、認証情報の盗難、およびアクセス侵害が、DeFi損失の主要な原因としてスマートコントラクトのバグを上回っており、いくつかのトラッカーは、盗まれた価値の大部分を欠陥のあるコードではなく、このカテゴリに起因させています。私たちは、2026年の最大のDeFiハッキングのまとめでこの規模を取り上げました。そこでは、最大のインシデントはバグのあるコントラクトではなく、侵害されたインフラストラクチャから発生していました。ウォレットの下にある弱い乱数ジェネレーターは、異なる場所での同じ教訓です。つまり、鍵を保持するコードは、あなたがやり取りするコントラクトと同じくらい重要です。

また、これは小さな舞台で起こりました。DeFiLlamaのデータによると、CardanoのDeFiセクターは控えめで、2026年のロックされた総価値は1億3000万ドルから1億4200万ドルの範囲であり、トップ20チェーンからは大きく外れています。この範囲に対する私たち自身の概算では、確認された240万ドルの損失でさえCardano DeFiの重要な部分であり、2000万ドルの最悪のケースはその大部分を占めることになります。一方、同額の損失はEthereumの数百億ドルに対してはほとんど影響を与えないでしょう。

影響を受けたユーザーがすべきこと

SecondFiまたは古いYoroiウェブフローを通じてCardanoウォレットを作成した場合、まだ侵害されていないかどうかにかかわらず、ウォレットが侵害されている可能性があると安全に仮定してください。SecondFiの公式ガイダンスに従い、信頼できる監査済みのソフトウェアを使用して新しいウォレットを生成し、残りの資金をできるだけ早くそこに移動してください。古いリカバリーフレーズは、その生成方法に弱点があるため、新しいウォレットにインポートしないでください。このようなインシデントの後には偽のヘルパーが常に出現するため、リカバリーまたは返金ツールを提供する者には注意してください。ウォレットが侵害された場合の即座に取るべき手順に関するガイドでは、そのプロセスを説明しています。また、新しいトークンに移動する前に、DEXToolsのToken Safety Checkerでそのコントラクトの健全性を確認できます。この記事は情報提供のみを目的としており、金融アドバイスではありません。