26.02.2026 – Das DeFAI Holdstation Wallet-Projekt mit Sitz in Vietnam (aufgebaut auf Worldcoin und BNB Chain) bestätigt, Opfer eines schwerwiegenden Lieferkettenangriffs in den frühen Morgenstunden des 25.02.2026 geworden zu sein. Der Gesamtschaden wird auf 462.000 USDT geschätzt.
Dies ist der zweite Sicherheitsvorfall des Projekts im Jahr 2026, nach einem Verlust von etwa 100.000 USD im Januar.
Lieferkettenangriff: Nicht auf Smart Contracts, sondern auf die Verteilinfrastruktur abgezielt
Laut offizieller Mitteilung haben die Hacker nicht direkt auf die Wallets der Nutzer oder Smart Contracts zugegriffen. Holdstation und die Prüfstelle Verichains bestätigen, dass die Smart Contracts weiterhin sicher sind.
Stattdessen haben die Angreifer die Verteilinfrastruktur der Anwendung ins Visier genommen – den Ort, an dem Updates für die Nutzer bereitgestellt werden.
Konkret haben die Hacker:
Nachdem sie die Infrastruktur kontrollierten, haben sie die JavaScript-Dateien in der offiziellen Version der Anwendung manipuliert und Schadcode in Form eines Backdoors eingefügt. Nutzer, die die Anwendung aktualisierten, installierten unwissentlich eine infizierte Version.
„Silent“ Abhebungsmechanismus
Der Schadcode wurde so programmiert, dass er sofort nach der Installation aktiv wird:
Das führte dazu, dass viele Wallets innerhalb weniger Minuten nach der Veröffentlichung der infizierten Version geleert wurden.
Notfallreaktion von Holdstation innerhalb von 30 Minuten
Laut veröffentlichtem Zeitplan (UTC+7):
Anschließend arbeitete Holdstation mit Verichains zusammen, um On-Chain-Daten zu analysieren und Beweise für die Untersuchung zu sammeln.
Der bisher bestätigte Gesamtschaden beläuft sich auf 462.000 USDT.
100% Rückerstattung für Nutzer versprochen
Holdstation verpflichtet sich, 100% des Schadenswerts zu erstatten. Nutzer müssen das offizielle Formular ausfüllen unter:
https://forms.gle/9FriUzFWHx6ZPXCS7
Das Team wird eine On-Chain-Überprüfung und Eigentumsbestätigung der Wallets durchführen, bevor die Rückerstattung erfolgt. Das Projekt betont, dass keine Seed-Phrase, Private Key oder Gebühren für die Rückerstattung erforderlich sind.
Sicherheitslektionen für die Branche
Der Vorfall zeigt, dass selbst bei sicheren Smart Contracts Schwachstellen in der Verteilinfrastruktur zu erheblichen Verlusten führen können. Es handelt sich um einen Lieferkettenangriff – bei dem Hacker in die „Eingänge“ des Produkts eindringen, anstatt direkt die Nutzer anzugreifen.
Holdstation kündigt an, den gesamten Veröffentlichungsprozess zu verbessern, einschließlich:
Der Vorfall zieht großes Interesse in der vietnamesischen Krypto-Community auf sich, da Holdstation eines der DeFi-Wallet-Projekte mit Sitz in Ho-Chi-Minh-Stadt ist.
Das Projekt verspricht, die Ermittlungsfortschritte in den kommenden Tagen weiter zu aktualisieren.
Vương Tiễn
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Langtang: Vorsicht vor gefälschtem imToken Chrome-Erweiterung
PANews 6. März Nachrichten, Chief Information Security Officer von Slow Fog Technology 23pds gibt eine Warnung heraus, die vor gefälschten imToken Chrome-Erweiterungen warnt. Eine gefälschte imToken Chrome-Erweiterung im Chrome Web Store kann Phishing betreiben, um Seed-Phrasen und private Schlüssel zu stehlen.
GateNews7M her
Absurde》In Südkorea erweckte ein seit 7 Jahren verstorbener Betrüger wieder zum Leben, das Gericht verkauft Kryptowährungen, um die Opfer zu entschädigen
Ein südkoreanischer Betrüger wurde nach sieben Jahren, in denen er für tot erklärt wurde, schließlich in sein Heimatland abgeschoben. Das Gericht hob die Todeserklärung auf, und die eingefrorenen Vermögenswerte in Höhe von etwa 60.000 US-Dollar wurden zur Entschädigung der Opfer verwendet. Dieser Vorfall deckte zahlreiche Schwachstellen im koreanischen Justizsystem auf und führte zu weitreichender Kritik an der Verwaltung digitaler Vermögenswerte. Die Regierung beschloss, eine umfassende Reform durchzuführen.
動區BlockTempo9M her
FBI verhaftet Verdächtigen im Zusammenhang mit dem Diebstahl von Kryptowährungen bei der Polizei, Rätsel um 46 Millionen US-Dollar Diebstahl gelöst
Das FBI in den USA hat John Daghita auf Saint Martin festgenommen, der des illegalen Zugriffs auf 46 Millionen US-Dollar in Kryptowährungen, die vom Sheriff-Büro verwaltet werden, verdächtigt wird. Der Fall basiert auf der Nachverfolgung des On-Chain-Detektivs ZachXBT, der Schwachstellen bei der Verwahrung digitaler Vermögenswerte aufdeckte und Zweifel an der Sicherheit der Drittanbieterverwahrung aufwarf. Es ist derzeit noch unklar, ob die gestohlenen Vermögenswerte zurückerlangt werden konnten.
MarketWhisper33M her
PsiQuantum Quantentechnologie-Einrichtung im Bau, könnte das Bitcoin knacken
PsiQuantum hat die offizielle Baustart des Million-Quantenbit-Einrichtung in Chicago bekannt gegeben, in Zusammenarbeit mit NVIDIA, mit dem Plan, leistungsstarke Quantencomputer zu bauen. Die Einrichtung kann die Bitcoin-Verschlüsselungstechnologie herausfordern und löst Diskussionen über Cybersicherheit aus. Die Bedrohungsbewertung für Quantencomputer zeigt, dass die frühen UTXO-Geldbörsen am anfälligsten sind, während einige Experten glauben, dass Quantencomputer in den nächsten zehn Jahren keine erheblichen Auswirkungen auf Bitcoin haben werden. PsiQuantum betont, dass es nicht beabsichtigt, Bitcoin anzugreifen, aber das Risiko der technischen Verbreitung bleibt weiterhin zu beachten.
MarketWhisper1Std her
HypurrFi deckt frühzeitigen Versionen von Aave V3 "Rundungsfehler" Schwachstelle auf, der die neuen Kreditaufnahmen im XAUT0- und UBTC-Markt ausgesetzt wurden
HyperEVMs HypurrFi hat auf der X-Plattform eine Nachricht veröffentlicht: Die frühere Version von Aave V3 3.5 weist eine „Rundungsfehler“-Sicherheitslücke auf, die von Angreifern ausgenutzt werden kann, um die zugrunde liegenden Token zu extrahieren. Betroffene Märkte haben die entsprechenden Operationen pausiert. Die Sicherheit der Nutzermittel ist nicht gefährdet, das Team arbeitet an einer Lösung des Problems.
GateNews1Std her
