Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Các tác nhân Crypto do AI điều khiển đang chuyển tiền thật và các rủi ro là có thật: Chuyên gia
_Các tác nhân crypto AI trong DeFi đang thực hiện các giao dịch không theo kịch bản, làm tăng rủi ro bị khai thác, thua lỗ và hành vi thị trường không thể đoán trước._
Một nhà nghiên cứu crypto đang đưa ra cảnh báo về các tác nhân AI quản lý quỹ thực trong DeFi.
Tanaka, người đã thử nghiệm các thiết lập tác nhân này một cách trực tiếp, cho biết mối nguy hiểm là
LiveBTCNews6giờ trước
Gauntlet cập nhật tiến trình xử lý lỗ hổng Resolv: USDC Frontier đã được gỡ bỏ rủi ro, sẽ dần dần khôi phục kho tiền.
Gauntlet đã cập nhật tiến trình xử lý lỗ hổng Resolv trên nền tảng X, USDC Frontier (v1) của mạng Base đã được gỡ phân bổ, rủi ro nợ xấu đã được loại bỏ. Kho v1 và v2 đã mở lại việc gửi tiền, Morpho sẽ gỡ cảnh báo vào ngày mai. Kho USDC Frontier (v2) trên mạng chính đang được khởi động lại, sẽ cung cấp thêm thông tin dựa trên các sửa chữa tiếp theo.
GateNews8giờ trước
Danh sách DAO cập nhật tiến độ sự kiện USR: đã thanh toán khoản vay 8,4 triệu USD, rủi ro đã được xử lý gần như toàn bộ
Lista DAO đã phát hành cập nhật trên nền tảng X, liên quan đến khoản vay 8,6 triệu đô la đã được hoàn trả 8,4 triệu đô la, tất cả các vị thế đã được hoàn trả theo tỷ lệ 1:1, người dùng không bị tổn thất. Chỉ còn 26.000 đô la vị thế chưa được hoàn trả, các người dùng liên quan vui lòng liên hệ sớm để hoàn tất việc trả nợ.
GateNews8giờ trước
Singapore has cracked a case of cryptocurrency asset theft, involving an amount of 8.83 million SGD.
29 tháng 3, Singapore đã phá án một vụ trộm tài sản tiền điện tử do nội bộ nhân viên, số tiền liên quan lên tới 8,83 triệu đô la Singapore. Ba bị cáo vì không hài lòng với việc bị sa thải đã xâm nhập trái phép vào tài khoản SafeX của công ty trước đây, đánh cắp tiền điện tử và rửa tiền. Zhang Xinghua đã nhận tội và bị kết án hai năm, trong khi một trong hai người còn lại đã bỏ trốn.
GateNews9giờ trước
Công ty tiền mã hóa Mỹ Goliath Ventures nộp đơn xin phá sản và tái cơ cấu, bị cáo buộc là một vụ lừa đảo Ponzi quy mô 328 triệu đô la Mỹ
Florida-based cryptocurrency company Goliath Ventures has filed for Chapter 11 bankruptcy reorganization, accused of a $328 million Ponzi scheme, affecting over 2,000 investors. The former CEO has been arrested for telecommunications fraud and money laundering, with funds diverted to pay returns to early investors and for luxury expenditures.
GateNews03-28 13:01
LiteLLM vụ tấn công hacker: 500,000 chứng chỉ bị rò rỉ, ví tiền điện tử có nguy cơ bị đánh cắp, làm thế nào để kiểm tra xem có bị ảnh hưởng không?
LiteLLM đã bị tấn công qua chuỗi cung ứng, hàng trăm GB dữ liệu và 500.000 chứng chỉ đã bị rò rỉ, ảnh hưởng đến hơn 20.000 kho lưu trữ mã nguồn. Hacker lợi dụng lỗ hổng của Trivy để cấy mã độc thành công và đánh cắp thông tin nhạy cảm. Cần tăng cường an ninh chuỗi cung ứng và kiểm soát quyền truy cập để phòng ngừa các cuộc tấn công tương tự.
区块客03-28 07:55
