2026年2月26日——总部位于越南的DeFAI Holdstation智能钱包项目(基于Worldcoin和BNB链)确认在2026年2月25日凌晨遭遇严重的链上供应链攻击。总损失为462,000 USDT。
这是该项目在2026年发生的第二起安全事件,之前在一月曾损失约100,000美元。
供应链攻击:不攻击智能合约,而是攻击分发基础设施
根据官方公告,黑客并未直接入侵用户钱包或智能合约。Holdstation和审计机构Verichains确认智能合约仍然安全。
相反,攻击者瞄准了应用的分发基础设施——为用户提供更新的渠道。
具体来说,黑客已:
控制基础设施后,修改了正式版本应用中的JavaScript文件,在其中植入后门式的恶意代码。用户在更新应用时,无意中安装了被感染的版本。
“静默”提款机制
恶意代码设计为在安装后立即生效:
导致许多钱包在恶意更新发布后的前几分钟内被盗取资金。
Holdstation的紧急反应(30分钟内)
根据公布的时间线(UTC+7):
随后,Holdstation与Verichains合作,分析链上数据并收集证据以进行调查。
目前确认的总损失为462,000 USDT。
承诺全额赔偿用户
Holdstation承诺赔偿受影响资产的100%。用户需填写官方表格:
https://forms.gle/9FriUzFWHx6ZPXCS7
团队将进行链上验证和钱包所有权确认后再进行赔付。项目强调在赔偿过程中不要求提供助记词、私钥或任何费用。
行业的安全教训
此次事件显示,即使智能合约安全,软件分发基础设施的漏洞仍可能造成巨大损失。这是一种供应链攻击——黑客入侵产品的“入口”而非直接攻击用户。
Holdstation表示正在升级整个发布流程,包括:
此事件引起越南加密社区的广泛关注,Holdstation是胡志明市一家知名的DeFi钱包项目。
项目承诺将持续更新调查进展。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
TRM Labs 报告2025年全球因加密诈骗而失去的资金$35B
TRM Labs报告全球加密货币欺诈上升,到2025年达到$35 十亿,可能低估了实际损失。加强培训和区块链工具对于执法部门有效打击复杂的欺诈方案至关重要。
TheNewsCrypto4小时前
伊朗、北韩都在用!稳定币成非法交易首选虚拟资产,涉诈额达 510 亿美元
根据FATF报告,稳定币已成为非法交易的首选资产,尤其在伊朗与北韩等国被广泛使用。该组织呼吁加强对稳定币发行商的监管,并指出在2025年,稳定币将占大部分非法虚拟资产交易。为应对相关挑战,FATF建议发行商应加强技术能力,以提高监管效率。
区块客4小时前
地址中毒诈骗:TON鲸鱼损失22万美元,骗子归还大部分
一位TON区块链大户误将$220K 发送给了一个骗子。骗子保留了$17K ,并附上道歉信退还了其余部分。
一位TON区块链大户最近成为地址中毒骗局的受害者。
此次事件让他损失了价值22万美元的TON代币。他通过以下方式将资金发送到错误的钱包:
Live BTC News5小时前
OpenClaw出现「自我攻击」漏洞:误执行Bash命令致密钥泄露
GoPlus 报告称,AI 工具 OpenClaw 发生自我攻击安全事件,因错误的 Bash 指令导致敏感环境变量泄露。建议在 AI 开发中使用 API 调用,遵循最小权限原则,限制高风险操作并引入人工审核。
GateNews5小时前
太子集团在台洗钱 107 亿!自行开发「OJBK 钱包」连接地下汇兑
台北地检署侦办的柬埔寨「太子集团」洗钱案,涉及非法洗钱高达107亿,起诉陈志等62人,并查出集团利用USDT与自开发的「OJBK钱包」进行跨境洗钱。陈志指挥在多国设立公司,通过不实交易合约隐藏犯罪所得,并购置豪宅与名车,检方对其求刑最高13年。
区块客7小时前
新科鲁纳iOS漏洞工具包增加加密货币用户的安全风险
新发现的“Coruna”漏洞套件对苹果设备构成严重威胁,包含23个复杂的漏洞,可能危及多个iOS版本的iPhone。研究人员警告这些工具正在网络犯罪市场流通,强调定期软件更新以增强安全性的重要性。
Todayq News7小时前
