Charles Hoskinson:SecondFiアプリは侵害されたが、Cardanoプロトコルは影響を受けず

Charles HoskinsonはSecondFiウォレット事案に関する新たな技術アップデートを示し、疑われるアプリケーション層の不具合をCardanoのプロトコル、オープンソースのウォレット基盤、コア暗号技術から切り分けた。

By SongMarketCap

Cardano News - Charles Hoskinson:SecondFiアプリは侵害されたが、Cardanoプロトコルは影響を受けず

Charles Hoskinsonは2026年6月24日に、新たなライブアップデートを発表した。SecondFiアプリケーションの最小化されたTypeScriptを精査し、ウォレット事案に対する独立のフォレンジック分析を実施した後の報告だ。今回のアップデートは、攻撃がどのように発生したと見られるか、なぜ事案の焦点がSecondFiのアプリケーションコードに向かうのか、そして入手可能な証拠がCardanoのプロトコル、コアノード、オープンソースのウォレットライブラリ、あるいは基礎的な暗号技術の不具合を示していない理由に焦点を当てた。

CardanoプロトコルのセキュリティはSecondFi事案と切り分けられた

Hoskinsonの検証は、SecondFiの事案が単一アプリケーションに限定されたものか、それともCardanoの暗号サプライチェーン全体に関わる広範な問題とつながっているのかを調べた。その評価では、エコシステム内の大半のウォレットが使用するオープンソースのCardano暗号ライブラリが侵害された形跡は見当たらなかった。

技術レビューは、鍵導出、署名の構成、リカバリーワードの生成、HDウォレットの仕組み、UTXO選択を網羅した。これらの要素は、事案発生前からCardanoのウォレット全般で使われてきたオープンソース基盤と整合的であると説明された。

SecondFiに関連する異常なトランザクションは、オープンソースの標準から改変された、そのアプリケーションのクローズドソースのコードベースに結び付けられた。一線を画す点はここにあり、Cardanoのネットワーク、ノード、プロトコル層の暗号技術、そしてオープンソースのウォレット基盤は、特定のウォレットアプリケーション内部で疑われる不具合とは切り分けられた。

SecondFiのコードとウォレット監査基準に焦点が当たる

事案の次段階は、独立した監査に委ねられる。そのプロセスは、事案がどのように発生したのか、誰に責任があるのか、影響を受けたユーザーにどのような救済計画が提示されるのかを明らかにする見込みだ。

Hoskinsonは、EmurgoやSecondFiチームからのさらなる開示があるまでは、攻撃の具体的な技術的経路の公表を避けた。今回のアップデートは代わりに、形式手法による検証、監査の規律、アプリケーション層の説明責任を調査の中心に据えた。

この事案はまた、Cardanoエコシステムにおけるウォレット標準というより広い論点を再び提起した。LaceとDaedalusは、オープンソースの可視性と外部レビューを軸に開発されたウォレットソフトウェアの例として言及された。アップデートで示されたより広い立場は、ユーザー資金を扱うウォレットのコードはオープンソースであるべきで、定期的に監査され、暗号コンポーネントがエコシステム全体に影響する場合には、共同の精査のもとで保守されるべきだというものだった。

懸念は単に脆弱性の存在にとどまらない。さらに深刻なのは、公開のレビューの外側で機微な暗号コードが改変されることだ。ウォレット開発者にとって、SecondFiの事案は、アプリケーション設計、暗号実装、監査の履歴、オープンソースの透明性を、セキュリティの議論のど真ん中に置くことになった。

ユーザーの安全、ホワイトハットの主張、救済計画

今回のアップデートはまた、一部の資金は攻撃者ではなくホワイトハットの関係者によって移動された可能性があるという初期の主張にも言及した。この主張には、監査プロセスまたは正式な救済計画による確認が依然として必要であり、資金の回収と返還手続きは未解決のままだ。

Hoskinsonはまた、24語のウォレットリカバリーワードが侵害されたかどうかという疑問にも触れた。彼が確認したコードに基づけば、その時点ではリカバリーワード自体が侵害された形跡は見られなかった。ただし、完全な鍵導出プロセスに全面的にアクセスできない限り、これを検証するのは難しく、特にウォレットがYoroiで生成されて後にSecondFiへインポートされた場合や、SecondFi内で直接生成された場合はなおさらだと付記した。

監査と救済のプロセスが完了するまで、SecondFiアプリケーションは侵害されたものとして扱うべきだ。アップデートで示された最も安全な対応は、鍵を静置し、いかなるSecondFiウォレットでも取引を行わないことだ。

アップデートは、Input Outputの役割の限界も明確にした。同社には、プロトコルレベルで資金を凍結、巻き戻し、または回収する特別な権限はない。Cardanoにはその種の介入メカニズムは含まれておらず、単一の企業や個人がユーザー残高を管理しないというグローバルな暗号資産モデルにネットワークが整合している。

現在の調査は、三つの具体的な成果物にかかっている。独立監査、SecondFiに責任を負うチームからの技術的説明、そしてユーザー向け救済計画だ。より広いCardanoエコシステムにとって、今回のライブアップデートは、事案をアプリケーションコード、クローズドソースのウォレット改変、監査上の説明責任にまで絞り込み、プロトコル層、オープンソースのウォレットライブラリ、コアの暗号基盤は報告された不具合の外側にあることを維持した。