Ví Holdstation 被駭 462,000 USDT:這是駭客如何繞過 MFA,在2分鐘內提取資金的方法

2026年2月26日——位於越南的智能錢包項目DeFAI Holdstation(建立於Worldcoin和BNB Chain之上)確認在2026年2月25日凌晨遭遇嚴重的鏈上供應鏈攻擊。總損失金額為462,000 USDT。

這是該項目在2026年發生的第二起安全事件,之前在一月曾失約100,000美元。

供應鏈攻擊:不攻擊智能合約,而是攻擊分發基礎設施

根據官方公告,黑客並未直接入侵用戶錢包或智能合約。Holdstation和審計公司Verichains均表示,智能合約仍然安全。

相反,攻擊者將目標鎖定在應用分發基礎設施——即向用戶提供更新的渠道。

具體來說,黑客已經:

控制了基礎設施後,修改了正式版本應用中的JavaScript文件,在其中植入後門式惡意碼。用戶在更新應用時,無意中安裝了被感染的版本。

“靜默”提款機制

惡意碼設計為在安裝後立即運行:

結果是在發布被感染更新的幾分鐘內,許多錢包的資金被轉移。

Holdstation的緊急反應(30分鐘內)

根據公布的時間線(UTC+7):

之後,Holdstation與Verichains合作,分析鏈上數據並收集證據以進行調查。

目前確認的總損失為462,000 USDT。

承諾100%賠付用戶

Holdstation承諾將全額賠付受影響資產的價值。用戶需填寫官方表單:

https://forms.gle/9FriUzFWHx6ZPXCS7

團隊將進行鏈上驗證並確認錢包所有權,然後進行賠付。項目強調,在賠付過程中不會要求提供種子短語、私鑰或任何費用。

行業的安全教訓

此次事件顯示,即使智能合約本身安全,軟件分發層的漏洞仍可能造成巨大損失。這是一種供應鏈攻擊——黑客入侵產品的“入口”,而非直接攻擊用戶。

Holdstation表示正在升級整個發布流程,包括:

此事件引起越南加密社群的高度關注,因為Holdstation是越南胡志明市一家知名的DeFi錢包項目。

項目承諾將在未來持續更新調查進展。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆