据 Woofun AI 消息，基于 Cardano 构建的自托管钱包 SecondFi 遭遇严重安全漏洞，攻击者利用地址层缺陷窃取用户资金。该公司周三确认根本原因并启动紧急响应，已将约 1.29 亿 ADA 资产转移至独立第三方托管机构，暂时冻结以保护受影响用户权益。周二初步统计显示，共有 374 个账户受到波及，涉及 ADA 币值约 1600 万，折合美元约 240 万。Cardano 创始人查尔斯·霍斯金森明确澄清，SecondFi 并非 Input Output Global 旗下产品，双方不存在所有权、控制关系或业务联系。整理数据显示，此次事件暴露了非协议层基础设施的脆弱性，引发行业对钱包生成代码审计缺失的深刻反思。更关键的变量在于，攻击者正将目标从区块链协议本身转向密钥生成与存储的基础设施，这种趋势可能重塑未来安全防御的优先级。

值得注意的是，SecondFi 尚未发布全面分析报告，但已多次声明漏洞源于其钱包软件中用于生成 Cardano 地址的代码缺陷，该缺陷在用户进行签名交易时触发私钥泄露。安全公司 Immunefi 首席执行官米切尔·阿马多尔指出，虽然区块链底层协议保持安全，但生成私钥的代码却如同未经审计的合同，存在巨大隐患。他进一步强调，攻击者如今越来越聚焦于密钥生成或存储的基础设施，而非直接攻击区块链协议本身，这一策略转变值得所有项目方高度警惕。从结构上看，SecondFi 建议用户切勿将恢复短语迁移至新钱包，因为更换平台无法消除风险，这与部分社区成员主张迁移资金的观点形成鲜明对立。SecondFi 前身是 Yoroi 钱包，于 2026 年 4 月更名而来，由 Emurgo 开发，后者自称是 Cardano 的盈利部门并推出首个开源轻量级钱包。霍斯金森在周二发布的视频中重申，IOG 并非 Emurgo，对后者无控制权，也无法代表其就此次事件发表意见，并强调 IOG 未编写相关代码且与 Emurgo 无任何关联。自周一以来，IOG 事故应对团队虽与 SecondFi 保持联系，但该平台已主动要求独立安全审计以彻底排查隐患。Woofun AI 分析认为，此次事件标志着 Web3 安全防御重心正从协议层向应用层基础设施转移，未来项目方必须将代码审计作为核心合规要求，而非可选动作。这是继多起智能合约漏洞后，首次因地址层生成逻辑缺陷导致大规模资产冻结，凸显了自托管钱包在密钥管理上的系统性风险。