Ja, hast du tatsächlich.
Die Pubkeys dieser alten Adressen bzw. der STXO (ausgegebene Outputs) sind zwar öffentlich, aber „wertlos“ da sie keine Balance mehr haben und längst ausgegeben wurden.
Auf der neuen Adresse wurde noch nichts ausgegeben, d.h. es befinden sich ausschließlich UTXO auf der Adresse. Hier wurde noch nichts veröffentlicht und du genießt die volle Sicherheit. Die neue Adresse hat schließlich auch einen neuen Public Key.
Bei diesem Argument geht es darum dass man Adressen immer komplett leeren sollte, d.h. alle UTXO auf der Adresse auf einmal ausgeben. Und das geht halt am einfachsten wenn auf jeder Adresse auch nur ein UTXO liegt, d.h. man eine Adresse immer nur einmal verwendet.
Aber ich möchte das nochmal betonen: Das ist hoch-theoretisch und man sollte sich da eigentlich keine Gedanken machen müssen.
Bei den neuen P2TR (Taproot) Outputs sind Public Keys zum Beispiel immer öffentlich.
Das wurde ausführlich und technischer u.a. in diesem Thread diskutiert: