币圈界报道：

Cardano 核心钱包平台遭遇严重安全漏洞，用户资产面临系统性风险

近期，曾用名 Yoroi 的 Cardano 自我托管平台 SecondFi 公布其钱包生成系统存在致命缺陷，攻击者利用可预测的私钥生成机制实施远程入侵，造成大规模资产被盗。该事件不仅波及多个用户钱包，更动摇了去中心化金融中“自我掌控”的基本前提。

核心密钥生成机制被攻破，数百账户陷入危境

调查发现，问题根源在于 SecondFi 原生网页端钱包创建模块中的随机数生成逻辑存在设计缺陷。这一漏洞使得攻击者能够通过算法反推，提前预知部分用户的私钥，从而在未授权情况下访问其资金。

尽管官方称受影响钱包数量有限，但链上分析工具显示，在6月21日至22日期间，已有178个关联地址出现异常转账行为，且超过200笔交易被标记为高风险。为应对潜在追偿需求，平台已记录相关余额信息，等待后续处理方案。

损失规模存巨大争议，数据分歧反映追踪复杂性

SecondFi 初步披露被盗金额约为1600万 ADA（当时约合240万美元），但独立安全团队 SlowMist 在深入追踪攻击者资金流向后指出，实际流失量可能高达1.29亿 ADA，折合总价值突破2000万美元。

两者之间的显著差距源于对“已转移资产”与“仍在锁定状态”资产的界定差异。目前，平台正联合第三方机构开展全面审计，最终评估结果将在审查完成后公布。多数行业观察者认为，官方数据应视为保守下限。

品牌背书削弱信任，生态信心遭受重创

SecondFi 源自由 EMURGO 开发的 Yoroi，后者长期作为 Cardano 用户首选轻钱包，具备极高的市场认可度。今年6月初，平台完成从 Yoroi 到 SecondFi 的品牌升级，并推出支持多场景金融功能的新版本，意在打造综合型数字钱包生态。

然而此次安全事件因直接关联到生态核心基础设施，迅速演变为一场系统性信任危机。公众质疑点集中于：为何在关键安全环节仍出现低级漏洞？是否缺乏足够压力测试？这不仅影响平台自身，也牵连整个 Cardano 生态的信任基础。

用户紧急行动指南：立即迁移资产并重置助记词

多家安全机构如 Blink Labs 已发布明确警示：凡使用受漏洞影响版本生成的钱包，均被视为不安全。建议所有用户立即将资产转移至经验证的替代钱包，例如 Daedalus、Exodus 等主流客户端，并彻底更换助记词以确保安全。

同时，诈骗团伙借机活跃于 X 和 Telegram 平台，冒充官方账号提供虚假援助。第二方提醒用户仅通过官网或认证渠道获取信息，切勿轻信非官方链接或私信。

事件定性：去中心化承诺的重大挑战

本次事件之所以格外引人注目，是因为它并非传统意义上的智能合约漏洞或交易所失守，而是直击自我托管的本质——私钥生成过程的安全性。一旦该环节失效，即便用户完全遵循最佳实践，也无法避免资产损失。

据估算，当前已确认的受损钱包数量约为178个，损失范围介于240万美元至逾2000万美元之间，且仍有未知数量的钱包处于潜在风险之中。此事件已被视为2026年 Cardano 生态最严重的安全事故之一。

术语解析与常见疑问回应

漏洞成因是什么？

攻击者利用了 SecondFi 钱包生成器中随机数生成算法的可预测性，使私钥生成过程失去应有的不可预测性，从而实现逆向推导。

涉及多少钱包？

目前已识别出约178个钱包受到直接影响，但不排除有更多未被发现的账户仍处于风险中。

实际损失是多少？

官方报告为1600万 ADA（约240万美元），而外部研究机构估算最高可达1.29亿 ADA，总值超2000万美元。

是否有赔偿计划？

截至目前，尚未公布任何补偿机制或具体时间表，相关讨论仍在进行中。