Nesse trecho de código que a questão se refere, de fato, tem esse problema. Porém, se colocarmos o return false; pra fora do laço de repetição, ou seja, se dissermos ao programa que ele só deve retornar falso se nenhuma letra da palavra secreta for compatível com o chute do usuário, é sanado esse problema.
