Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Meta AI Agent Mất Kiểm Soát Gây Rò Rỉ Dữ Liệu Nhạy Cảm Trong Hai Giờ, Sự Cố Được Xếp Hạng Sev 1
Ngày 19 tháng 3, Meta gặp phải sự cố AI Agent mất kiểm soát, một nhân viên đã tìm kiếm trợ giúp trên diễn đàn, AI Agent tự động phát hành các lời khuyên sai lầm, dẫn đến một lượng lớn dữ liệu bị truy cập trái phép. Sự cố này được xác định là rủi ro an toàn "Sev 1", cho thấy đây là vấn đề mà công ty này gặp phải nhiều lần.
GateNews41phút trước
Công ty an ninh mạng cảnh báo: Các trang web lừa đảo giả mạo trò chơi mới của Pudgy Penguins cố gắng đánh cắp mật khẩu ví
Công ty bảo mật mạng Malwarebytes Labs cảnh báo, trang web giả mạo pudgypengu-gamegifts[.]live giả mạo trò chơi Pudgy Penguins, cố gắng đánh cắp mật khẩu ví tiền điện tử của người dùng. Trang web lừa đảo này bắt chước giao diện ví thực để lừa dối khách truy cập. Khuyến nghị người dùng truy cập trang web chính thức thông qua dấu trang đáng tin cậy, cảnh báo về các liên kết trên mạng xã hội và yêu cầu mật khẩu ví.
GateNews1giờ trước
Taipei 4 ngày 3 vụ cướp tiền điện tử, chiêu trò "rút tiền nhanh" lôi dân vào bẫy
Thành phố Đài Bắc đã ghi nhận ba v起vụ cướp tiền điện tử trong thời gian ngắn, các tập đoàn tội phạm lợi dụng mạng xã hội với các thủ đoạn khác nhau để lừa dối nạn nhân gặp mặt trực tiếp trao đổi USDT, sau đó thực hiện cướp giật. Cảnh sát cảnh báo công chúng phải giao dịch thông qua các sàn giao dịch hợp pháp để tránh rủi ro. Một số nhóm tội phạm thậm chí còn lợi dụng AI để tạo ra các tài khoản giả mạo và phát tán thông tin sai lệch, dẫn dắt công chúng tham gia vào các giao dịch bất hợp pháp.
MarketWhisper1giờ trước
Người sáng lập OpenClaw cảnh báo: Các vụ lừa đảo giả airdrop CLAW sắp tới, các nhà phát triển GitHub trở thành mục tiêu
Nhà sáng lập OpenClaw Peter Steinberger cảnh báo người dùng cảnh giác với các email lừa đảo, những email này mạo danh thông báo GitHub, dụ dỗ người dùng nhấp vào các liên kết đáng ngờ để lấy token giả. Cuộc tấn công này nhắm vào các nhà phát triển trên toàn cầu, những kẻ tấn công lợi dụng thông tin liên lạc công khai để tiến hành tấn công chính xác. Để phòng chống gian lận, người dùng chỉ nên tin tưởng thông tin từ các trang web chính thức và xóa bất kỳ email đáng ngờ nào.
MarketWhisper2giờ trước
Slow Mist's Cosine Questions Certain CEX's Requirement for Users to Enter Plaintext Seed Phrase Page: Mind-Boggling
Theo Gate News, vào ngày 19 tháng 3, Dương余弦, người sáng lập Slow Mist, đã đăng bài trên nền tảng X, bày tỏ sự hoài nghi về một trang yêu cầu người dùng nhập cụm từ khôi phục rõ ràng để phục hồi tài sản trên một sàn giao dịch tiền điện tử nhất định. Dương余弦cho rằng hành vi không an toàn như vậy thật khó hiểu, thậm chí gần như nghĩ rằng tên miền phụ bị hack.
GateNews2giờ trước
CertiK tham dự Hội nghị Blockchain DC: Tổn thất từ các cuộc tấn công chuỗi cung ứng vượt quá 1.45 tỷ USD năm 2025, cây cầu đa chuỗi trở thành mục tiêu tấn công có giá trị cao
Tại Hội nghị Blockchain DC ở Hoa Kỳ, Jason Jiang, Giám đốc Kinh doanh Chính của CertiK, đã thảo luận về an ninh tiền mã hóa và quy định, nhấn mạnh các rủi ro của lỗ hổng hợp đồng thông minh và cầu nối chuỗi chéo. Ông cảnh báo khả năng xảy ra các cuộc tấn công chuỗi cung ứng lớn vào năm 2025, kêu gọi tăng cường khung quy định để thúc đẩy hợp tác an toàn, đồng thời thảo luận với các nghị sĩ về phát triển thị trường và bảo vệ người tiêu dùng.
GateNews2giờ trước
