Charles Hoskinson: SecondFiインシデントでCardanoのウォレット標準が精査の対象に

SecondFiは影響額を約1,600万ADAと推計

報告されたSecondFiのセキュリティインシデントは、2026年にCardanoエコシステムを襲った最も深刻なウォレット関連の問題の一つとなり、ユーザー向けインフラがどのように監査され、保護され、侵害後に復旧されるのかに改めて注目を集めている。

6月23日の公開コメントで、Charles Hoskinsonは、SecondFiが根本原因を切り分け、初期的な影響範囲を特定したとするアップデートを公表した後に、このインシデントに言及した。コメントで参照されたそのアップデートによれば、問題はSecondFiのネイティブなCardanoウェブウォレット生成ソフトウェアに限定されていた。

SecondFiは現時点での総影響額を約1,600万ADAと推計した。同社はまた、プラットフォームが引き続きセキュアなメンテナンスモードにあり、オペレーション対応の一環として残高のフルスナップショットを取得したことを確認した。

このインシデントによりユーザー資金の損失が発生した可能性があるが、最終的な範囲は独立した技術レビューの対象となっている。SecondFiはまた、結論の検証のために大手ブロックチェーンセキュリティ企業と連携していることを示した。

一方で、約1億3,000万ADAに達する可能性を含む、はるかに大きな露出額を示唆する未検証のコミュニティの主張も流布している。そうした主張は、Hoskinsonが言及したアップデートでは確認されていない。コメントで参照された確認済みの推計は引き続き約1,600万ADAである。

独立レビューがSecondFiの次の試金石に

当面の最優先事項は封じ込め、透明性、そして検証可能な是正である。Hoskinsonは第一段階をトリアージと表現し、さらなる被害の阻止と正確な影響範囲の特定に焦点を当てると述べた。その段階が完了した後は、何が起き、なぜ起き、何が失敗し、影響を受けたユーザーをどのように扱うのかを包括的に説明することが次のステップとなる。

Input Outputは独立監査とより広範なセキュリティレビューを要請した。期待されるのは、根本原因の特定だけではなく、外部の関係者が結論を検証し、提案された修正が適切に実装されたかを確認することである。

この区別が重要なのは、今回のインシデントが技術的な不具合そのものを超えてユーザーの信頼に影響するためである。ウォレットの侵害は単なるメンテナンス告知では済まない。明確な公開記録、独立した調査結果、そして信頼できる是正の道筋が必要だ。

Hoskinsonはまた、Input Outputの役割とEMURGOおよびSecondFiの責任を切り分けた。SecondFiはInput Outputの製品ではない。IOGはコードを書いておらず、ウォレットを運用しておらず、EMURGOの対応を管理してもいない。ただし、要請があれば、IOGのインシデント対応チームと技術チームがフォレンジクス、セキュリティレビュー、技術ガイダンスで支援できる。

ユーザーへの救済に関する責任はEMURGOとSecondFiに残る。一方で、より広いCardanoエコシステムは、ユーザー資金を大規模に保管し管理する製品に対してウォレットのセキュリティ標準が十分に強固かという、より広範なインフラの課題に直面している。

Cardanoウォレット認証が注目の的に

このインシデントにより、正式なCardanoウォレット認証の枠組みを求める声が一段と強まった。ウォレットは重要なインフラであり、ユーザーの鍵、署名フロー、分散型アプリケーションへのアクセスを管理する。このレイヤーでの不具合は、Cardanoプロトコル自体が侵害されていなくても信頼を損なう可能性がある。

認証プログラムは、コードレビュー、セキュリティアーキテクチャ、開発者の権限制御、攻撃予防、インシデント対応、定期的な第三者監査に関するより明確な基準を導入できる。DeFi、ガバナンス、アイデンティティ、決済、実世界でのユースケースへと深化するエコシステムにおいて、ウォレットのセキュリティはもはや製品レベルの懸念だけではない。エコシステムレベルの信頼の問題である。

人工知能の影響でセキュリティ環境も変化している。高度なAIツールは脆弱性の発見を加速させ、攻撃者が通常とは異なる攻撃経路を見つけるのを支援し、内部脅威のリスクを高めうる。Hoskinsonは、悪意ある人物が内部から暗号資産企業やウォレットチームへ入り込もうとする動きに関する業界全体の懸念に言及した。

このリスクはウォレット提供者に求められる基準を変える。セキュリティはもはや、ソフトウェアが通常条件下で動作しているように見えるかどうかだけに依存できない。ウォレットチームは、より厳格な採用管理、より深い内部レビュー、独立監査、そしてインシデント発生前に検証されたリカバリモデルを必要とするかもしれない。

議論はまた、暗号資産ユーザー向けの保険型の保護にも道を開いた。伝統的な金融には、障害や災害の後に一定の損失を吸収できる仕組みがある。暗号資産ユーザーはしばしば自己責任のモデルの下で無防備なままだ。将来のウォレットインフラは、侵害が起きた際の下方リスクを軽減するために、共同の保護モデルや保険商品を必要とする可能性がある。

Hoskinsonはまた、Midnight Passport、ゼロ知識証明、エージェントによる委任権限などの先進的な暗号技術を将来の改善点として挙げた。これらの技術は、将来のウォレットシステム全体で、より安全なアイデンティティ、認可、トランザクションのモデルを支える可能性がある。

既知の問題は確認されていないものの、Input OutputはLaceを含む自社の製品とインフラの見直しも進めている。こうした見直しは、SecondFiインシデントから得られたより広い教訓を反映したものだ。AI主導の脅威環境では、ウォレットのセキュリティには断続的な安心ではなく継続的な検証が求められる。

したがって、SecondFiのインシデントは単なる一企業に特有のウォレット侵害を超えるものとなった。安全なインフラがエコシステムの次の段階の中心となりつつある今、Cardanoのウォレット標準、監査への期待、ユーザー保護モデルを直接の精査の下に置くことになった。