26/02/2026 – La plataforma de billetera inteligente DeFAI Holdstation, con sede en Vietnam (construida sobre Worldcoin y BNB Chain), confirmó haber sido víctima de un grave ataque de cadena de suministro en la madrugada del 25/02/2026. La pérdida total registrada fue de 462.000 USDT.
Este es el segundo incidente de seguridad del proyecto en 2026, tras una pérdida de aproximadamente 100.000 USD en enero.
Ataque de cadena de suministro: no a los contratos inteligentes, sino a la infraestructura de distribución
Según el anuncio oficial, los hackers no accedieron directamente a las billeteras de los usuarios ni a los contratos inteligentes. Holdstation y la firma de auditoría Verichains aseguran que los contratos inteligentes permanecen seguros.
En cambio, los atacantes apuntaron a la infraestructura de distribución de la aplicación, donde se entregan las actualizaciones a los usuarios.
Específicamente, los hackers:
Tras tomar control de la infraestructura, el atacante modificó el archivo JavaScript en la versión oficial de la aplicación, insertando código malicioso en forma de puerta trasera. Los usuarios que actualizaron la aplicación instalaron involuntariamente una versión infectada con malware.
Mecanismo de retiro “silencioso”
El malware fue diseñado para activarse inmediatamente después de la instalación:
Como resultado, muchas billeteras fueron vaciadas en los primeros minutos tras la publicación de la actualización infectada.
Respuesta de emergencia de Holdstation en 30 minutos
Según la cronología publicada (UTC+7):
Luego, Holdstation colaboró con Verichains para analizar los datos en cadena y recopilar evidencia para la investigación.
La pérdida total confirmada actualmente es de 462.000 USDT.
Compromiso de reembolso del 100% a los usuarios
Holdstation se compromete a reembolsar el 100% del valor de los activos afectados. Los usuarios deben completar el formulario oficial en:
https://forms.gle/9FriUzFWHx6ZPXCS7
El equipo verificará en cadena y confirmará la propiedad de las billeteras antes de realizar el reembolso. El proyecto enfatiza que no se requiere la frase semilla, clave privada ni ningún cargo durante el proceso de compensación.
Lecciones de seguridad para la industria
El incidente demuestra que, incluso si los contratos inteligentes son seguros, las vulnerabilidades en la infraestructura de distribución de software aún pueden causar pérdidas significativas. Este tipo de ataque es una cadena de suministro, donde los hackers ingresan en la “entrada” del producto en lugar de atacar directamente a los usuarios.
Holdstation informó que está mejorando todo el proceso de lanzamiento, incluyendo:
El incidente ha generado gran interés en la comunidad cripto de Vietnam, ya que Holdstation es uno de los proyectos de billeteras DeFi con sede en Ciudad Ho Chi Minh.
El proyecto se compromete a seguir actualizando sobre el progreso de la investigación en los próximos días.
Vương Tiễn
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
IPhone sufre una vulnerabilidad crítica "DarkSword": los hackers pueden robar billeteras de criptomonedas y claves privadas, los usuarios de criptomonedas se convierten en nuevas presas
Google reveló recientemente la cadena de ataque DarkSword para iOS que explota múltiples vulnerabilidades de día cero, amenazando la seguridad de activos de usuarios de criptomonedas. Esta herramienta de ataque ha sido ampliamente utilizada por software espía comercial y hackers de nivel estatal, capaz de controlar completamente iPhones, acceder a billeteras de criptomonedas y datos sensibles. La investigación muestra que hasta 2.7 mil millones de dispositivos iPhone se ven afectados, siendo el riesgo particularmente grave para usuarios habituados al uso de Web3. Aunque Apple ha parcheado las vulnerabilidades, la técnica de ataque sigue siendo reproducible y la amenaza potencial persiste.
ChainNewsAbmediahace4h
Ripple Clarifica: Sin Telegram Oficial Mientras Aumentan Cuentas de Estafa - U.Today
RippleX advierte sobre el aumento de cuentas de suplantación en Telegram que se hacen pasar por representantes de Ripple, enfatizando que Ripple no tiene un canal oficial e instando a los usuarios de XRP a verificar las comunicaciones. XRP Ledger está experimentando un crecimiento récord, con más de 7,7 millones de titulares, respaldado por regulaciones favorables de la SEC.
UTodayhace6h
BONK.fun reinicia después de que le quitaran el dominio, confirma daños de $30.000
BONK.fun ha reanudado operaciones después de un incidente reciente de toma de control de dominio que causó pérdidas de $30,000 en usuarios. El ataque, atribuido a una vulnerabilidad del proveedor de terceros, implicó tácticas de phishing. A pesar de recuperar el dominio, los riesgos persisten ya que algunos programas antivirus aún lo marcan como sospechoso, y el precio del token BONK continúa en declive.
TapChiBitcoinhace7h
¡El esposo acusa a su esposa de robar más de 2.000 bitcoins! Juez: La probabilidad de que el demandante gane es muy alta
La Corte Superior del Reino Unido ha conocido recientemente un caso de robo de Bitcoin en el que el demandante Ping Fai Yuen acusa a su esposa separada Fun Yung Li de haber robado Bitcoin de su cartera de hardware mediante vigilancia encubierta, con un valor aproximado de 176 millones de dólares. Las grabaciones de audio y la evidencia de búsqueda respaldan las alegaciones del demandante. El tribunal ha mantenido la orden de congelación de activos, pero ha desestimado parte de las demandas. El juez considera que las probabilidades de victoria del demandante son muy altas y recomienda que se celebre la audiencia lo antes posible.
区块客hace8h
FBI: Aparecen estafas con tokens falsos TRC20 FBI, las cuentas de usuarios y la seguridad vuelven a sonar las alarmas
La oficina del FBI en Nueva York advierte a los usuarios de blockchain que si reciben tokens TRC-20 que afirman estar relacionados con el FBI, deben estar alerta y evitar revelar información personal. Este método de estafa utiliza suplantación de identidad del FBI para presionar a las víctimas a presentar datos y dirigirlos a sitios de phishing para cometer fraude de activos.
区块客hace13h
Las ballenas NFT atacadas continúan moviendo fondos
Arkham reportó que los fondos robados fueron movidos por primera vez desde el 6 de marzo de 2026, con casi $1 millones de DAI transferidos. El robo provino de un ataque violento contra la ballena de NFT de Ethereum Sillytuna, resultando en $23.6 millones robados. Más de $7 millones permanecen rastreables, ilustrando un aumento en robos de criptomonedas del mundo real.
TapChiBitcoinhace15h
