2026年2月26日 – ベトナムに拠点を置くDeFAI Holdstationのスマートウォレットプロジェクト(WorldcoinとBNB Chain上に構築)は、2026年2月25日未明に深刻なサプライチェーン攻撃の被害を受けたことを確認しました。総被害額は462,000 USDTです。
これは2026年に入ってからの同プロジェクトの2回目のセキュリティインシデントで、1月の約10万ドルの流出に続くものです。
サプライチェーン攻撃:スマートコントラクトではなく配信インフラを狙う
公式発表によると、ハッカーはユーザーのウォレットやスマートコントラクトに直接侵入したわけではありません。Holdstationと監査会社のVerichainsは、スマートコントラクトは安全であると断言しています。
代わりに、攻撃者はアプリの配信インフラを狙いました。これは、ユーザーにアップデートを提供する部分です。
具体的には、ハッカーは以下の操作を行いました:
インフラを掌握した後、攻撃者は公式アプリのJavaScriptファイルを改ざんし、バックドアとしてマルウェアを埋め込みました。ユーザーがアプリを更新すると、意図せず感染したバージョンをインストールしてしまいます。
「静かに」資金引き出しの仕組み
マルウェアはインストール直後に動作するように設計されています。
その結果、感染したアップデートがリリースされてから数分以内に、多くのウォレットから資金が引き出されました。
Holdstationの緊急対応(30分以内)
公開されたタイムライン(UTC+7)によると:
その後、HoldstationはVerichainsと連携し、オンチェーンデータの分析と証拠収集を行い、調査を進めました。
現在までに確認された総被害額は462,000 USDTです。
ユーザーへの100%返金を約束
Holdstationは、影響を受けた資産の価値を100%補償することを約束しています。ユーザーは以下の公式フォームに記入してください:
https://forms.gle/9FriUzFWHx6ZPXCS7
チームはオンチェーンの検証とウォレット所有権の確認を行った後、返金を実施します。プロジェクトは、返金手続き中にシードフレーズやプライベートキー、手数料の請求を行わないことを強調しています。
セキュリティの教訓
この事件は、スマートコントラクトが安全であっても、ソフトウェア配信インフラの脆弱性が大きな損失を引き起こす可能性があることを示しています。これはサプライチェーン攻撃の一種であり、ハッカーは製品の「入口」に侵入し、直接ユーザーを攻撃するのではなく、配信経路を狙います。
Holdstationは、リリースプロセス全体のアップグレードを進めていると述べています。
この事件は、ホーチミン市に拠点を置くDeFiウォレットプロジェクトの一つとして、ベトナムの暗号通貨コミュニティから大きな関心を集めています。
今後も調査の進捗を随時更新していく予定です。
ヴォアン・ティエン
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
太子グループが台湾で洗 money 107億円!自ら開発した「OJBKウォレット」で闇取引と連携
台北地検署はカンボジアの「太子グループ」のマネーロンダリング事件を捜査し、62人と13社を起訴、洗浄金額は107億円に上り、資産価値55億円を差し押さえた。グループはUSDTと自社開発の「OJBKウォレット」を利用して国際的なマネーロンダリングを行い、犯罪収益を隠し、多国で現金を引き出していた。
区块客1時間前
HypurrFiはAave V3の初期バージョンにおいて丸め誤差の脆弱性が存在することを公開し、XAUT0とUBTCの市場での新規借入を停止しました。
HyperEVMの非托管レンディングプロトコルHypurrFiは、Aave V3の旧バージョンに「丸め誤差」脆弱性が存在することを公開しました。攻撃者は底層のトークンを抽出できる可能性があります。HypurrFiはユーザー資金の安全を保証し、影響を受けた市場の供給と借入操作を停止し、関係者と協力して安全性の問題に対処しています。
GateNews2時間前
AIエージェントがCloudflareの防御を突破、暗号化されたDeFiフロントエンドのセキュリティが再び試される
最近、自律型AIエージェントのOpenClawがScraplingライブラリを利用してCloudflareの防御を突破し、DeFiのセキュリティに関する懸念を引き起こしました。 このツールは合法的にコンテンツを取得できるものの、その潜在的なリスクにより、開発者は多層防御を構築し、従来の保護策への過度な依存を避ける必要があると警告しています。
GateNews2時間前
MONTRA代币团队“跑路”,市值瞬间蒸发80%,归咎伊朗征兵
暗号資産プロジェクトのMontra Financeは、開発チームがイランに徴兵されたため、プロジェクトを停止し、その結果、トークンの時価総額が80%急落しました。公式情報の欠如により投資者の疑念が高まり、一部の人々はこれを「逃亡詐欺」とみなしています。この事件は、地政学的な要因が暗号市場に与える影響を浮き彫りにしており、投資者は不透明なプロジェクトに対して警戒を怠らない必要があります。
GateNews2時間前
ネットユーザーが「イラン・リヤル」に賭けたい:9割下落したら絶対に上がる!こんな戦争くじを買える?
イランのリヤルは2ヶ月以内に96%以上暴落し、史上最低記録を更新しました。米国と核合意を結べばリヤルは反発の余地がありますが、購入経路は困難でリスクも高いです。投資家は米国制裁リスクやイランの通貨改革が為替レートに影響を与える可能性に注意する必要があります。多くの人が暗号通貨を通じてリヤルを交換していますが、慎重に行動する必要があります。
動區BlockTempo3時間前
韓国で「死亡宣告」された暗号詐欺犯の身元が回復され、暗号資産を現金化して被害者に6万ドルを賠償
死亡宣告を受けた暗号通貨詐欺容疑者が韓国に送還された後、法的身分を回復し、凍結された資産を売却して被害者に賠償を行った。この事件は、国境を越えた執行と暗号詐欺の追跡・回収メカニズムへの関心を呼び起こしている。同時に、韓国におけるデジタル資産案件の法的複雑さと規制の課題を反映している。
GateNews3時間前
