SecondFi漏洞致Cardano钱包遭攻击，逾2000万美元资金面临风险

SecondFi（原名为Yoroi的Cardano钱包）在6月23日因攻击者利用其钱包生成软件漏洞，至少损失1600万枚ADA。

SecondFi在一份声明中表示："根本原因已追溯到我们专有的Cardano钱包生成软件中的一个问题。"该公司补充称，已冻结账户余额并进入维护模式。

据创始人于贤（又名Cos）透露，区块链安全公司SlowMist估计总损失可能超过2000万美元，潜在影响高达1.29亿枚ADA。最初估算的1600万枚ADA与SlowMist预测之间的差距，反映出评估钱包相关安全事件的难度——攻击者可能仍保留对私钥材料的访问权限。SecondFi确认约有178个钱包直接受损。

此次安全事件直击Cardano生态系统的信誉核心。Cardano三大创始实体之一的Emurgo最初开发了Yoroi，后于2026年4月更名为SecondFi。如今，超过100万用户被告知应将其钱包视为存在风险，这引发了市场对Emurgo是否会承担赔偿责任的质疑——该机构迄今尚未就此问题作出回应。

SecondFi将漏洞追溯到其基于网页的钱包生成系统，该系统负责创建新钱包及私钥。团队表示，该流程中的一个缺陷使攻击者能够生成或访问与特定钱包相关的私钥。未涉及该受损生成流程的硬件钱包及助记词则未受影响。

团队已完成余额全面快照，并与IOG、Cardano基金会、IntersectMBO及SundaeSwap合作制定协同应对方案。SecondFi还正在与一家外部区块链安全公司敲定技术审查，以确认损失范围。

安全分析师指出，在安全事件发生后的数小时内，欺诈者开始模仿官方SecondFi的沟通渠道，分发伪造的恢复工具，以窃取担忧用户的登录凭证。

对于更广泛的Cardano生态系统而言，此次事件提醒人们，如果应用层工具将用户暴露于操作风险之中，仅靠链上安全是远远不够的。SecondFi尚未透露何时恢复正常运营，也未说明受影响的用户是否会获得赔偿。

本文仅供参考，不构成投资建议。