Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Lừa đảo đầu độc địa chỉ: Cá mập TON mất 220.000 USD, kẻ lừa đảo hoàn trả phần lớn
Một cá mập trên blockchain TON vô tình gửi $220K cho một kẻ lừa đảo. Kẻ lừa đảo giữ $17K và trả lại phần còn lại kèm theo lời xin lỗi.
Gần đây, một cá mập trên blockchain TON đã trở thành nạn nhân của một vụ lừa đảo làm nhiễu địa chỉ.
Sự cố này đã khiến anh ta mất 220.000 đô la giá trị token TON. Anh ta đã gửi số tiền này đến sai ví bằng cách
LiveBTCNews21phút trước
OpenClaw xuất hiện lỗ hổng「tấn công tự thân」: Thực thi nhầm lệnh Bash dẫn đến rò rỉ khóa bí mật
GoPlus báo cáo rằng, công cụ AI OpenClaw đã xảy ra sự cố an ninh tự tấn công, do lệnh Bash sai dẫn đến rò rỉ biến môi trường nhạy cảm. Đề xuất sử dụng API trong phát triển AI, tuân thủ nguyên tắc tối thiểu quyền hạn, hạn chế các thao tác rủi ro cao và đưa vào kiểm duyệt thủ công.
GateNews1giờ trước
Tập đoàn Thái Tử rửa tiền tại Đài Loan 107 tỷ! Tự phát triển "OJBK Ví" kết nối với các dịch vụ đổi tiền ngầm
Vụ án rửa tiền của "Tài Tử Nhóm" tại Campuchia do Viện Kiểm sát Taipei điều tra, liên quan đến số tiền rửa tiền bất hợp pháp lên đến 10.7 tỷ đô la Đài Loan, đã truy tố 62 người bao gồm Chen Zhi và những người khác, đồng thời phát hiện nhóm này sử dụng USDT và ví "OJBK" tự phát triển để thực hiện rửa tiền xuyên quốc gia. Chen Zhi chỉ huy thành lập các công ty tại nhiều quốc gia, thông qua các hợp đồng giao dịch giả mạo để che giấu thu nhập phạm pháp, đồng thời mua nhà sang và xe hơi đắt tiền, Viện Kiểm sát đề nghị mức án tối đa 13 năm tù.
区块客3giờ trước
Bộ Công Cụ Khai Thác iOS New Coruna Tăng Rủi Ro An Ninh cho Người Dùng Crypto
Bộ công cụ khai thác "Coruna" mới được phát hiện gây ra mối đe dọa nghiêm trọng đối với các thiết bị của Apple, chứa 23 lỗ hổng tinh vi có thể xâm phạm iPhone trên nhiều phiên bản iOS. Các nhà nghiên cứu cảnh báo rằng các công cụ này đang lưu hành trên thị trường tội phạm mạng, nhấn mạnh sự cần thiết của việc cập nhật phần mềm định kỳ để tăng cường bảo mật.
TodayqNews3giờ trước
Các hacker đánh cắp $24M trong vụ tấn công “búa” dữ dội của crypto
Một người sở hữu tiền điện tử đã trải qua một vụ trộm dữ $24 triệu đô la, gọi là 'tấn công wrench', trong đó các hacker sử dụng đe dọa và vũ khí để ép buộc họ chuyển tiền. Các nhà phân tích blockchain đang theo dõi các tài sản bị đánh cắp, vẫn có thể truy vết được khi chúng được chuyển đi.
TheNewsCrypto4giờ trước
Có vẻ như công cụ của chính phủ Mỹ bị rò rỉ! Google tiết lộ chuỗi tấn công mới của lừa đảo tiền điện tử trên iPhone
Nhóm báo cáo thông tin đe dọa của Google tiết lộ bộ công cụ khai thác lỗ hổng iPhone mới mang tên Coruna đã được sử dụng để lừa đảo tiền điện tử quy mô lớn. Bộ công cụ này sử dụng công nghệ JavaScript để nhận dạng vân tay thiết bị iOS, đánh cắp ghi nhớ mật khẩu mã hóa và thông tin tài khoản tài chính. Khuyến nghị tất cả người dùng iPhone cập nhật hệ thống ngay lập tức để phòng ngừa. Nguồn gốc của Coruna còn gây tranh cãi, nghi ngờ bắt nguồn từ chính phủ Mỹ, nhưng chưa có bằng chứng xác thực.
MarketWhisper6giờ trước
