EMURGOは、SecondFiウォレットのハッキングで流出した約240万ドル相当の資産について、2週間以内の返還を目指す復旧策を確保した。フォレンジック調査とウォレット残高の確認は完了しており、今後は復旧メカニズムの構築と検証を進める。

The Blockが27日（現地時間）に報じたところによると、EMURGOのCEO、フィリップ・フォン氏はX（旧Twitter）への投稿で、フォレンジック調査と残高検証を終えたうえで、「明確な復旧ソリューション」を確保したと明らかにした。

EMURGOは、復旧メカニズムの構築に1週間、テストにさらに1週間を充てる計画だ。フォン氏は被害を受けた利用者に対し、公式案内に従うよう呼びかけるとともに、SecondFiが個人鍵やシードフレーズ、ウォレットへのアクセス権限を求めることは一切ないと強調した。

SecondFiでは6月21日から23日にかけて、計4回の資産流出が発生した。このうち3回は外部攻撃によるもので、374のウォレットアドレスから合計約1600万ADAが流出した。当時の価値は約240万ドルに相当する。

4回目は攻撃ではなく、SecondFi側が追加被害の防止を目的に実施した措置だった。約1億2900万ADAを外部のカストディ事業者に緊急移管したという。

SecondFiは、ウォレット生成ソフトウェアのアドレス生成レベルの欠陥によって、利用者の個人鍵が露出したと説明している。

TibaneLabsは、より踏み込んだ分析を示した。同社によると、原因はウォレットの署名プロセスにおけるEd25519実装上の不具合にある。署名ごとに新たに生成されるべき秘密値が使われておらず、単一の署名から個人鍵を復元できた可能性があるという。

TibaneLabsは今回の問題について、単なるコーディングミスではなくガバナンス上の失敗だと指摘した。Cardanoの共同創設組織が、独立したレビューを経ていない未監査コードを本番環境に投入したとしている。セキュリティ研究者のテイラー・モナハン氏も、SecondFiについて「独自の暗号コードを作成し、ソースコードも非公開で、監査も受けていない」と述べた。