SecondFi — 現在の指針とインシデント情報

はい、指針が2026-06-24に変わり、EMURGOの公式声明（2026-06-25）がその理由を明示しました：脆弱性は**アドレスおよび秘密鍵のレベル**に存在するため、侵害ウォレットは**恒久的に侵害された**ものとして扱うべきで、影響を受けた復元フレーズを**別のウォレットにインポート／復元してもリスクは解消しません**。独自に行動するとさらなる侵害につながり得ます。SecondFi（@secondfiapp）・IntersectMBO・EMURGO のインシデント責任者（@nateacton 経由）・開発者 @phil_uplc がいずれも補強：復元フレーズを入れない・トランザクションに署名／実行しない・別ウォレットアプリへ移行しない。このページに以前掲載していた退避手順は一時停止しています。代わりに：SecondFiを開かず、何もせず、@secondfiapp / secondfi.io の公式な復旧手続きを待つこと。

スイープが問題なく完了し、資金が「Yoroi/SecondFiに一度も入れていない新しい復元フレーズを持つ、まったく新しいウォレット」に届いているなら、その移し終えた分は大丈夫のはずです — リスクは移動の最中にあり、あなたはもうそれを通過しています。その資金を元に戻さないこと、旧Yoroi/SecondFiフレーズは二度と使わないこと。現在の「何もしない」指針は、まだ行動していない人に向けたものです。すでに無事に退避を終えた場合、それが間違いだったという意味ではありません。（移動が失敗した、または一部しか通らなかった場合は、いったん止め、再試行せず、公式指示を待ってください。）

残高を「見る」ための復元自体はドレインの引き金ではありません — 危険なのはトランザクションの実行です。復元しただけで他に何もしていないなら、今いちばん大事なのは、そこから一切トランザクションを実行しないこと（送金・請求・委任・引き出し・スワップをしない）と、何もせず待つことです。なお最新の公式助言は「当面は新しいCardanoウォレットへの復元自体を避ける」ですが、すでに復元してしまった場合は、トランザクションを実行せず公式指示を待ってください。

署名が必要なオンチェーン操作すべてです：ADA・トークン・NFTの送金や移動、請求（例：NIGHT）、ステーク委任や再委任、ステーキング報酬の引き出し、スワップ、dApp操作の承認など。要するにオンチェーンでは何もしないこと。残高を「見る」だけ（エクスプローラや復元済みウォレットで）はトランザクションではなく、問題ありません。

同じフレーズを Yoroi/SecondFi で使ったことがあるなら、そのフレーズは露出している可能性があり、ダイダロス側の資金もリスクになり得ます。直感的には移したくなりますが、現在の指針が同様に当てはまります：トランザクションを実行しない・資金を動かさない・公式指示を待つ。今移動することは、まさに現在の助言が避けるよう求めている「署名を伴う操作」です。フレーズがダイダロス内だけにあり Yoroi/SecondFi に一度も触れていないなら、影響を受けません。

影響を受けたのはごく一部のウォレットで、大多数のユーザー（特にハードウェアウォレット利用者）はリスクにさらされていません。これは SecondFi の Web版ウォレットソフトの問題で、Cardanoブロックチェーンや他のウォレットの欠陥ではありません。プロトコル上の資産は無事で、リスクは当該 SecondFi/Yoroi の Web版ソフトが扱うシード／鍵に限定されます。

リスクは”復元フレーズ”についてまわります。要は、そのフレーズを Yoroi/SecondFi のソフトで「作成した／入力した」ことがあるか。あるなら（ソフト＝『ホット』ウォレット）リスクありとして、現在の指針に従う：復元・トランザクションを実行しない、@secondfiapp / secondfi.io の公式指示を待つ。ハードウェアウォレット（Ledger/Trezor）でしか使っていない、または Yoroi/SecondFi を一度も使っていないなら安全です。

以下は、SecondFi の公式な根本原因の記述＋コミュニティ報告からの私たちの推論です。SecondFi がこの切り分けを公表したわけではなく、公式も「追って詳細を説明する」としているため、理解のためのものとお考えください。自分がどの層だと思っても、取るべき行動は全員同じです（復元しない・署名しない・クレーム＆待つ）。ある程度確からしいこと：「当該 SecondFi/Yoroi の Web版ソフトで“署名トランザクションを出した”こと」が主要因の1つです。公式は問題を「アドレスレベル」「被害ユーザーが署名した時にリスクが顕在化」と述べ、さらにシードを Daedalus（良い乱数）で作り SecondFi には“復元して使っただけ”なのに抜かれた報告が複数あり、これは「弱い鍵生成だけが原因」を否定します。否定しないこと：当該ソフトで新規作成したウォレットには弱い鍵生成が“併存”する可能性があり、送金時に宛先アドレスがすり替わるクリップボード・ハイジャックという別問題の報告も出回りました。よって「自分はXしかしていない」「シードは Daedalus 由来だから」は安全の根拠になりません。リスク階層 — 最も高リスク：当該Web版ソフトで署名トランザクションを出した（生成元を問わず、特に直近の NIGHT/Midnight請求・委任・引き出し・送金・dApp）。一度署名すると公開鍵／署名がオンチェーンに残り、それがアドレス悪用の鍵になります。まだ露出していない可能性：当該ソフトに復元・接続したが一度も署名していない（受信・閲覧のみ）— まだオンチェーンに悪用材料が無く、だからこそ指針は「署名するな」。ほぼ対象外：ハードウェアウォレット利用者（署名は端末内で行われ欠陥ソフトを通らない）、および Yoroi/SecondFi を一度も使っていない人。これは「別ウォレットに復元しても緩和されない」理由（露出は署名時にオンチェーン記録済みで後から移しても取り消せない）と、メンテ開始後もドレインが続いた理由（アプリ停止では既に露出したアドレスを守れない）も説明します。結論：「自分は多分大丈夫」と判断して署名することが、最も危険な一手です。

はい。SecondFiはEMURGOによるYoroiのリブランドです（2026-04-22）。YoroiアプリはSecondFiへ自動更新され、ウォレットも復元フレーズもそのまま。Yoroiを使っていた人＝SecondFiユーザーです。

はい。鍵は端末内にあり、欠陥のあるソフトに露出していません。急ぐ必要はなく、解決までSecondFiの利用を止めるだけ。同じLedger/Trezorは Lace や Eternl など別アプリでそのまま使えます。

Daedalusを開くのは問題ありません（別物の影響を受けないウォレットです）。重要なのは復元フレーズだけ：そのフレーズを Yoroi/SecondFi アプリに「入力して使った」ことがあるなら、リスクありとして資金を移動。フレーズが Daedalus 内だけにあり Yoroi/SecondFi に一度も触れていないなら安全です。

リスクは低めですが、欠陥は鍵生成側（あなたの操作とは無関係）にあるため、念のため新ウォレットへ退避するのが安全です。最低限、SecondFiを開かず公式の続報を注視してください。

NIGHT請求などの操作も“署名イベント”の1つになり得ますが、それだけが原因ではなく、タイミングも当てになりません — 1週間以上前のトランザクションでも対象です。欠陥は“署名ソフト”側にあり、そのアドレスが署名するたび（NIGHT請求・送金・委任・報酬引出・dApp）に秘密鍵が漏れていたので、古い署名も最近の署名と同じく露出させます。「Xしかしていない」「前のことだから」と考えないこと。Yoroi / SecondFi / Ctrl のソフトウェアウォレットで一度でも署名したものはリスクありとして扱ってください。

実質的な差はなく、リスクは同じです。どちらにせよ今は開かないこと（メンテ中で何もできません）。資金確認は別ウォレットで行ってください。

おそらく守られないので、頼らないでください。送金パスワードは端末上で鍵をローカル暗号化するだけで、オンチェーンの資金は守りません。守っているのは秘密鍵そのものの秘匿性です。SecondFiは欠陥を「鍵“生成”」としており、生成時点で鍵が侵害され得た＝攻撃者はあなたのパスワードや署名なしに資金を動かせます（「署名なしで抜かれた」報告と整合）。本当の例外は、鍵がソフト内に存在しなかったハードウェアウォレット利用者です。

現在の指針：今すぐ復元しないこと。復元せずに確認するには：Cardanoエクスプローラ（cardanoscan.io / adastat.net）でステークアドレスを調べる（1つの受取アドレスだけで判断しないこと、ウォレットは多数のアドレスを持ちます）。「ステークアドレスの合計」を見て、残高があれば（今のところ）無事、合計が0で身に覚えのない出金があれば抜かれています。アドレスを控えてあれば、そのままエクスプローラで検索できます（フレーズ不要）。

現在の指針：Yoroi/SecondFiのフレーズを今すぐ別ウォレットに復元しない、トランザクションを実行しない。@secondfiapp / secondfi.io の公式指示を待つこと。このページのウォレット一覧は参考情報です。公式指針が移行を認める方向に変わった際に利用してください。

これは移動が妥当になり得る唯一のケースですが、自己責任であり、全体の「何もしない」指針には反するため、慎重に判断してください。報酬を引き出すには、まず手数料用の少額ADAをそのウォレットに入れる必要があり、侵害済みウォレットでは攻撃者botが新たな入金を即座に奪う可能性があります。完全に抜かれたウォレットの少額の残りは割に合わないことが多く、そのまま放置して公式指示を待つ人も多いです。試す場合は、数ADAだけ送り、引き出して新しいウォレットへ一度に全額退避してください。

NIGHTの請求自体がトランザクションなので、一般指針がそのまま当てはまります：露出の可能性があるウォレットでは署名しないこと。そのウォレットのシードが侵害されている場合、今後の請求は「スピード勝負」になります — 請求枠が開いた瞬間、攻撃者のbotも請求・回収でき、先に署名した方が勝ちます。露出済みウォレットに完全に安全な選択肢はありません。残りのエアドロ枠が開いた瞬間に請求し、即座に新しい安全なウォレットへ退避する、という方針を取る人もいます（リスク承知の上）。ウォレットが侵害されていない場合（SecondFiで作成・署名していない）、Lace等の安全なウォレットでNIGHTを受け取るのは問題ありません。ここは自己責任の領域で、可能な限り公式手順を待ってください。（コミュニティでの案内を反映 — 暫定で公式ではありません。）

はい — このページのホワイトハック判定は、Cardanoアドレス（addr1…/stake1…）と64桁のトランザクションIDの**どちらでも**入力できます。不審な／盗難の送金のtx IDを貼り付けると、そのトランザクションが既知のホワイトハック退避先へ送金しているかをオンチェーンで表示します。コツ：アドレスを控えていない場合、取引所のADA出金履歴に通常tx IDとcardanoscanリンクがあるので、そこから自分のアドレスを辿れます。（暫定ツール：一致は退避先の特定であって補償の保証ではありません。）

主な理由は2つ。(1) ステーキング報酬は別の「報酬アカウント」にあり、動かすには専用の引き出しトランザクション（と手数料用の少額ADA）が必要 — 使用可能残高をスイープしても、未引き出しの報酬分は残ることが多いです。(2) ドレインが2ステップ必要な場合があり、botが1回のトランザクションで取れるだけ取った可能性。半端な少額／報酬が残っていても安全の証ではありません — そのウォレットは侵害済みとして扱ってください。その残りを救出すべきかは上記「ステーキング報酬だけ残っている」の項目を参照（手数料用ADAが必要・botが新規入金を奪う可能性・慎重に判断）。

公式には該当機能は停止済みとされています。現在の指針：復元フレーズを入れない・トランザクションで資金を移さない — インシデント対応の助言によれば、これらの行動がドレインを誘発する可能性があります。Cardanoエクスプローラ（復元せずに）でADAが残っていることを確認できれば、おそらくまだあります。@secondfiapp / secondfi.io の公式アップデートを注視してください。

開かないでください — メンテ中でどのみち何もできません。見るだけで即抜かれはしませんが、ロック解除・シード入力・承認はしないこと。「更新したから安心」も禁物（更新では露出した鍵は直りません）。古い版を誤って開いても、何も承認・入力せず閉じればOK。資金確認は別ウォレットで。

それはVESPRが全員に出す一般的な「復元フレーズをバックアップして」の案内で、本件固有の警告ではありません。なお現在の公式指針は、Yoroi/SecondFiのフレーズを別ウォレットに復元しない・トランザクションを実行しないことです — support.secondfi.io でクレーム／チケット申請をして待ってください。

Xの公式 @secondfiapp と @emurgo_io、および secondfi.io のチケット。それ以外は無視 — 運営が先にDMやシードを尋ねることはなく、「回復/返金」のDMは詐欺です。

EMURGOの公式声明（2026-06-25・署名 Phillip）によれば、4件の資金流出イベントすべての被害ウォレットの資産返還に取り組むとしています。透明な弁済プロセスの基盤として、**独立して安全管理される「復旧基金（restoration fund）」を既に設立済み**。外部攻撃者による確定損失は374アドレス・約16M ADA（≈ 米$2.4M）。並行して約129M ADAがチームの緊急ホワイトハック・レスキューで確保され、復旧が続く間は安全に保管されています。EMURGOは被害アドレスのマッピングを完了し、検証ベースのクレーム手続きを進めています — 時間はかかるが最も安全な経路。被害者は公式サポート窓口 support.secondfi.io で**クレーム申請**を（@secondfiapp の投稿のリンク先と一致）。ADA以外（LPトークン・NFT）が対象かは完全には未指定。偽の「クレーム／返金」ページに注意 — 正規のクレームがシードフレーズを要求することはありません。

SecondFiは2026-06-24に明確化しました：外部攻撃者による確定損失は374アドレス・約16M ADA（4件中3件のドレイン事象）。「ハッカーのウォレット」として出回った約129〜130M ADA のアドレスは、実は SecondFi 自身のホワイトハック・レスキュー — チームが稼働中の攻撃から確保し、被害者のため独立した第三者カストディアンへ移した資金です。したがって約130Mは損失ではなく、返還のため保管中。外部監査が数字を最終確定中です。

いいえ — SecondFiの2026-06-25の根本原因投稿が明確に警告しています。報酬引出と委任は**ステーク資格情報**で署名され、引き出された資金は最初／既定アドレス（index 0）へ送られ得ます。被害ウォレットではそれがほぼ確実に露出したアドレスです。すると mempool を監視する攻撃者が、トランザクション確定の瞬間に先回り（front-run）して資産をさらえます — 別のウォレットアプリから実行しても同じで、露出しているのはアプリではなく鍵だからです。欠陥は決定論的nonceの漏洩であり、侵害された鍵で何かに署名すること自体が鍵の再構成を可能にします。したがって、SecondFiが公式の復旧手続きを公開するまで、**あらゆる署名**（送金・引出・委任・dApp操作・NIGHT/Midnightのクレーム）を危険とみなしてください。今できる唯一の安全な行動は、support.secondfi.io でチケットを提出して待つことです。

SecondFiは根本原因を特定してエクスプロイトのベクトルを隔離し、未影響の全ウォレットにパッチを適用済みとしています。EMURGOの2026-06-25声明によれば、追加のセキュリティレビューと**独立監査**が完了するまで通常運用は再開しない — 大手セキュリティ企業＋独立パートナーがプロトコルを**コードレベルで**レビュー中で、それまでアプリは安全のためメンテナンスモードを維持します。EMURGOはあわせて、関係当局へ正式な被害届を提出し、資産回収と責任者の追及のためあらゆる法的手段を追求するとしています。公式の確定した次の手順が出るまで指針は不変：復元しない・署名しない・support.secondfi.io でクレーム申請して待つ。（このページ下部の「公式ソース」リンクも参照。）