Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Khách hàng đến cửa hàng đổi tiền ở Hong Kong bị cướp bằng dao, cảnh sát đã triển khai sớm để bắt giữ thủ phạm
Gần đây, đã xảy ra một vụ cướp có vũ khí tại trung tâm Hong Kong, hai nạn nhân sau khi đổi tiền tại một cửa hàng đổi tiền đã bị cướp lấy khoảng 10 triệu HKD, cảnh sát đã bắt giữ thành công các nghi phạm, các nạn nhân không bị mất tài sản. Đây là vụ cướp tiền mặt lớn thứ ba trong vòng gần ba tháng qua tại khu vực này, cảnh sát đã bắt đầu điều tra mối liên hệ của vụ việc và nền tảng của nhóm tội phạm.
GateNews5phút trước
Warden Protocol nghi vấn lừa đảo, giá token giảm mạnh 90% kể từ khi ra mắt
Tin tức Gate News, ngày 7 tháng 3, theo phản hồi từ cộng đồng người dùng, Warden Protocol (WARD) có khả năng đã lừa đảo, giá token của nó đã giảm 90% kể từ khi niêm yết trên một sàn CEX Alpha. Được biết, Warden Protocol trước đây được định vị là một mạng lưới blockchain mô-đun hướng theo mục đích, sau đó chuyển hướng sang câu chuyện liên quan đến AI. Dự án này từng tự nhận rằng ba đồng sáng lập của nhóm đều có nền tảng từ một sàn CEX trước đó.
GateNews1giờ trước
BlackRock hạn chế rút tiền của quỹ tín dụng tư nhân 26 tỷ USD, có thể ảnh hưởng đến thị trường DeFi và tiền điện tử
Quỹ tín dụng tư nhân thuộc BlackRock bắt đầu hạn chế rút tiền do số lượng yêu cầu rút tiền tăng, gây lo ngại trên thị trường về tín dụng tư nhân và hệ sinh thái DeFi. Các nhà phân tích cảnh báo rằng, giảm giá trị tài sản tiềm năng hoặc vỡ nợ có thể dẫn đến việc thắt chặt thanh khoản, ảnh hưởng đến thị trường tín dụng truyền thống và thị trường tiền mã hóa.
GateNews5giờ trước
Những hacker của Sillytuna chuyển hơn $10M trong số tiền mã hóa bị đánh cắp
Các hacker Sillytuna đã rửa hơn $10M trong số tiền bị đánh cắp, chủ yếu sử dụng Bitcoin và DAI, thông qua các sàn giao dịch và mixer để che giấu nguồn gốc. Mặc dù đã có các hoạt động này, họ vẫn giữ $19M trong số tài sản bị đánh cắp.
BlockChainReporter12giờ trước
Shiba Inu: Cảnh báo được phát đi khi tài khoản mạng xã hội của người tham gia SHIB bị hack - U.Today
Ragnarshib cảnh báo cộng đồng Shiba Inu về một tài khoản bị hack của Vet Kusama, hiện đang bị các kẻ lừa đảo sử dụng để gửi tin nhắn lừa đảo. Người dùng được khuyên không tương tác với tài khoản hoặc các liên kết của nó cho đến khi được khôi phục.
UToday15giờ trước
IoTeX phát hành báo cáo về sự cố an ninh của ioTube: thiệt hại thực tế khoảng 4,4 triệu USD, cam kết bồi thường đầy đủ cho các người dùng bị ảnh hưởng
IoTeX phát hành báo cáo cho biết, vụ việc cầu nối liên chuỗi ioTube ngày 6 tháng 3 đã gây thiệt hại khoảng 4,4 triệu USD. 99,5% tài sản bị đánh cắp đã được phong tỏa, nhóm cam kết bồi thường 100% cho người dùng bị ảnh hưởng. Mạng chính đã khôi phục hoạt động, đồng thời đã đưa địa chỉ của kẻ tấn công vào danh sách đen, cùng với việc thúc đẩy quản trị phi tập trung và kiểm toán an ninh.
GateNews17giờ trước
