币圈界报道：

SecondFi正式开启受攻击用户赔偿通道，修复进展持续披露

Cardano生态钱包服务提供商SecondFi（原Yoroi Wallet）已正式启动对特定时间段内遭受自动化攻击用户的退款机制。该行动覆盖6月21日至6月23日期间受影响账户，截至6月26日，系统已完成最终余额快照并进入赔付执行阶段，标志着整体补救流程全面展开。

漏洞根源确认：签名组件中随机数生成异常

经内部调查，本次攻击所利用的安全缺陷源自其钱包创建工具中的一个关键漏洞。具体表现为签名模块在生成一次性随机数时出现确定性偏差，使攻击者能够通过分析公开链上数据逆向推导出私钥信息。这一设计失误直接导致大量用户资产面临被非法提取的风险。

需指出的是，数字签名依赖于不可预测的一次性数值，若该值存在可复现或可计算特性，部分加密协议将可能暴露私钥，从而引发严重后果。

SecondFi披露，此次事件涉及两个独立行为体。根据6月25日更新，首名攻击者分两批次针对171个目标地址实施攻击，第二名则采用差异化扫描策略，从另外203个钱包中成功盗取资金。

目前，所有被盗资金合计约402万枚ADA已被集中至单一聚合地址，并处于持续监控状态。

风险警示：禁止迁移恢复短语，避免二次暴露

公司明确提醒所有受影响用户，切勿将原有恢复短语导入其他Cardano钱包应用。由于问题本质在于特定地址对应的私钥泄露，而非钱包软件本身，因此更换客户端并不能消除安全隐患。

6月26日最新公告强调，任何基于受攻击地址发起的交易均会暴露足够信息，足以让攻击者重构私钥。此外，建议用户暂不领取质押收益，因攻击者正密切追踪内存池动态，可能对剩余资产发起新一轮攻击。

SecondFi重申，相关地址的私钥仍处于公开可推导状态，单纯转移资产至新钱包无法提供有效保护。

补偿机制落地：联合设立1.29亿枚ADA应急基金

为应对此次危机，SecondFi与其母公司EMURGO共同锁定约1.29亿枚ADA作为专项保障资金。作为Cardano生态系统核心基础设施支持方，EMURGO承诺上述资产将在系统完成独立安全审计并重新获得授权前保持冻结。

同时，公司宣布将建立专门的赔偿基金，用于对符合条件的受害者进行定向补偿。官方强调，在未通过第三方安全机构全面验证之前，平台不会恢复常规运营。目前，SecondFi仍处于维护状态，但用户可通过指定渠道提交支持请求。

截至本文发布时，ADA价格约为0.148美元，过去24小时上涨超3%。此前攻击发生后，其价格一度稳定在0.15美元附近，消息披露当日曾单日下跌近2.9%。相较2026年初高点0.42美元，自年初以来累计跌幅超过54%。