Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Articoli correlati
韩国国税厅计划上半年完成虚拟资产托管服务商遴选
Gate News 消息,3 月 21 日,韩国国税厅计划于今年上半年完成虚拟资产托管服务商遴选工作。此举源于上月发生的虚拟资产被盗事件,当时国税厅在公布现场搜查成果时意外泄露助记词信息,导致查扣的虚拟资产先后两次遭到窃取。
GateNews59m fa
Rủi ro lượng tử với Bitcoin: Mối đe dọa có thật nhưng chưa mang tính toàn diện
Rủi ro từ điện toán lượng tử đối với nhà đầu tư Bitcoin là có thật, song không phải mọi ví đều dễ bị tổn thương — và những người có năng lực xử lý vấn đề này đang chủ động hành động, theo nhà phân tích Will Owens của Galaxy Digital.
Owens nhận định rằng về mặt lý thuyết, máy tính lượng tử có thể
TapChiBitcoin2h fa
Korea Tax Agency Moves to Secure Seized Crypto Assets
South Korea's National Tax Service plans to hire private custody providers for seized cryptocurrencies after a security breach revealed flaws in its storage system. This shift aims to enhance security and streamline asset management in light of increasing digital asset regulations.
TodayqNews11h fa
0x 报告:Base 网络部分 propAMM 存在报价操纵,每笔交易或致 5-10 基点损失
0x报告指出,Base网络上部分propAMM存在报价欺诈行为,运营商利用Flashblock结构发布虚假价格,导致交易者损失。每月可能造成50万美元损失。0x将监测并切断违规流动性以保护用户。
GateNews11h fa
某实体通过 7000 余个地址领取 40% 的 ROBO 空投,开盘时价值约 800 万美元
据Bubblemaps监测,某个实体通过女巫攻击在Fabric代币ROBO的空投中占领了40%的发放总量,涉及7000多个一致活动的钱包,领取约1.99亿枚ROBO,现值约800万美元。相关活动与Fabric或OpenMind无关。
GateNews13h fa
80岁老人遭电信诈骗损失28.5万美元,资金转为加密货币后起诉嘉信理财
80岁投资者George Chryssanthou在2025年1月遭电信诈骗,损失约28.5万美元。诈骗者假冒微软技术支持,诱导其向CEX账户转账,资金后被转为比特币。他已向FINRA控告嘉信理财未能阻止异常转账。
GateNews13h fa
