據 Woofun AI 消息，基於 Cardano 構建的自託管錢包 SecondFi 遭遇嚴重安全漏洞，攻擊者利用地址層缺陷竊取用戶資金。該公司週三確認根本原因並啓動緊急響應，已將約 1.29 億 ADA 資產轉移至獨立第三方託管機構，暫時凍結以保護受影響用戶權益。週二初步統計顯示，共有 374 個賬戶受到波及，涉及 ADA 幣值約 1600 萬，摺合美元約 240 萬。Cardano 創始人查爾斯·霍斯金森明確澄清，SecondFi 並非 Input Output Global 旗下產品，雙方不存在所有權、控制關係或業務聯繫。整理數據顯示，此次事件暴露了非協議層基礎設施的脆弱性，引發行業對錢包生成代碼審計缺失的深刻反思。更關鍵的變量在於，攻擊者正將目標從區塊鏈協議本身轉向密鑰生成與存儲的基礎設施，這種趨勢可能重塑未來安全防禦的優先級。

值得注意的是，SecondFi 尚未發佈全面分析報告，但已多次聲明漏洞源於其錢包軟件中用於生成 Cardano 地址的代碼缺陷，該缺陷在用戶進行簽名交易時觸發私鑰泄露。安全公司 Immunefi 首席執行官米切爾·阿馬多爾指出，雖然區塊鏈底層協議保持安全，但生成私鑰的代碼卻如同未經審計的合同，存在巨大隱患。他進一步強調，攻擊者如今越來越聚焦於密鑰生成或存儲的基礎設施，而非直接攻擊區塊鏈協議本身，這一策略轉變值得所有項目方高度警惕。從結構上看，SecondFi 建議用戶切勿將恢復短語遷移至新錢包，因爲更換平臺無法消除風險，這與部分社區成員主張遷移資金的觀點形成鮮明對立。SecondFi 前身是 Yoroi 錢包，於 2026 年 4 月更名而來，由 Emurgo 開發，後者自稱是 Cardano 的盈利部門並推出首個開源輕量級錢包。霍斯金森在週二發佈的視頻中重申，IOG 並非 Emurgo，對後者無控制權，也無法代表其就此次事件發表意見，並強調 IOG 未編寫相關代碼且與 Emurgo 無任何關聯。自週一以來，IOG 事故應對團隊雖與 SecondFi 保持聯繫，但該平臺已主動要求獨立安全審計以徹底排查隱患。Woofun AI 分析認爲，此次事件標誌着 Web3 安全防禦重心正從協議層嚮應用層基礎設施轉移，未來項目方必須將代碼審計作爲核心合規要求，而非可選動作。這是繼多起智能合約漏洞後，首次因地址層生成邏輯缺陷導致大規模資產凍結，凸顯了自託管錢包在密鑰管理上的系統性風險。