カルダノ系DeFi"SecondFi"、ウォレット鍵生成の欠陥で最大数千万ドル規模の被害懸念

カルダノのDeFiプロジェクトSecondFiを巡り、ウォレットの秘密鍵生成（Key Generation）に不備があった可能性が浮上し、ユーザー資産が数千万ドル規模で危険にさらされた恐れがある。一般的なスマートコントラクトの脆弱性による資金流出とは異なり、問題はより根本的な層にあるとみられる。つまり、秘密鍵の生成プロセスそのものが侵害され得る点だ。 報告によれば、秘密鍵が予測可能な乱数で生成されていた場合、該当ウォレットは資金移動の前段階から安全性を失う。現時点で確認されている損失は数百万ドル規模にとどまる一方、セキュリティアナリストは潜在的な被害総額がそれを大きく上回る可能性を指摘する。ウォレット侵害では、脆弱なウォレットが直ちに全て引き出されるとは限らず、事案公表後も資産が長期間リスクに残り得るためだ。 ■ 何が問題か スマートコントラクトの不具合は、特定プロトコルにロックされた資金を狙うケースが多い。対して秘密鍵生成の欠陥はウォレット自体を揺るがし、欠陥のある手順で作成されたウォレット全体が対象になる。鍵生成の乱数が予測可能であれば、攻撃者が秘密鍵を再現・推測できる余地が生まれ、紐づく資産が一括で危険にさらされる。リスク領域はコントラクトに限らず、ウォレットコード、乱数ライブラリ、フロントエンド依存関係、ブラウザ拡張、署名フローにまで及ぶ。 ■ ユーザーへの当面の対応 影響の可能性がある場合、最も安全な選択肢は移行だ。信頼できる未侵害のソフトウェアで新規ウォレットを作成し、資産を速やかに移すことが推奨される。併せてSecondFiの公式発信と、独立系セキュリティ研究者による検証情報を継続的に確認し、確認手順や復旧策に従う必要がある。 ■ カルダノDeFiへの波及 カルダノのDeFi拡大にとって、本件は信頼面での打撃となり得る。DeFiの成長は、ウォレットやフロントエンド、プロトコルのインターフェースが致命的な鍵管理リスクを持ち込まないという利用者の信認に支えられる。スマートコントラクト監査は不可欠だが十分条件ではなく、ウォレット生成やクライアントサイドのツールを含む包括的なセキュリティが求められることを示した形だ。 ■ 今後の焦点 SecondFiの対応速度と説明の明確さが、影響の広がりを左右する。重要となるのは、影響ユーザーの迅速な特定、調査結果と修正内容の透明な開示、独立研究者が被害範囲を検証できる環境整備だ。 本稿はCrypto Briefingの情報に基づく。原文はNews Deskが執筆し、Samuel Raeが編集した。