Ngày 26/02/2026 – Dự án ví thông minh DeFAI Holdstation có trụ sở tại Việt Nam (xây dựng trên Worldcoin và BNB Chain) xác nhận đã trở thành nạn nhân của một vụ tấn công chuỗi cung ứng nghiêm trọng vào rạng sáng 25/02/2026. Tổng thiệt hại được ghi nhận là 462.000 USDT.
Đây là sự cố bảo mật thứ hai của dự án trong năm 2026, sau vụ thất thoát khoảng 100.000 USD hồi tháng 1.
Tấn công chuỗi cung ứng: Không đánh vào smart contract mà vào hạ tầng phân phối
Theo thông báo chính thức, hacker không xâm nhập trực tiếp vào ví người dùng hay hợp đồng thông minh. Phía Holdstation và đơn vị kiểm toán Verichains khẳng định các smart contract vẫn an toàn.
Thay vào đó, kẻ tấn công nhắm vào hạ tầng phân phối ứng dụng – nơi cung cấp các bản cập nhật cho người dùng.
Cụ thể, hacker đã:
Sau khi kiểm soát hạ tầng, attacker chỉnh sửa file JavaScript trong phiên bản ứng dụng chính thức, chèn mã độc dưới dạng backdoor. Người dùng khi cập nhật ứng dụng đã vô tình cài đặt phiên bản bị nhiễm mã độc.
Cơ chế rút tiền “im lặng”
Mã độc được thiết kế để hoạt động ngay sau khi cài đặt:
Hậu quả là nhiều ví bị rút tiền chỉ trong vài phút đầu tiên kể từ khi bản cập nhật độc hại được phát hành.
Phản ứng khẩn cấp trong vòng 30 phút của Holdstation
Theo dòng thời gian được công bố (UTC+7):
Sau đó, Holdstation phối hợp với Verichains để phân tích dữ liệu on-chain và thu thập bằng chứng phục vụ điều tra.
Tổng thiệt hại được xác nhận hiện tại là 462.000 USDT.
Cam kết hoàn trả 100% cho người dùng
Holdstation cam kết bồi thường 100% giá trị tài sản bị ảnh hưởng. Người dùng cần điền biểu mẫu chính thức tại:
https://forms.gle/9FriUzFWHx6ZPXCS7
Đội ngũ sẽ tiến hành xác minh on-chain và xác thực quyền sở hữu ví trước khi hoàn trả. Dự án nhấn mạnh không yêu cầu seed phrase, private key hay bất kỳ khoản phí nào trong quá trình bồi thường.
Bài học bảo mật cho ngành
Sự cố cho thấy ngay cả khi hợp đồng thông minh an toàn, lỗ hổng tại lớp hạ tầng phân phối phần mềm vẫn có thể gây tổn thất lớn. Đây là dạng tấn công chuỗi cung ứng – nơi hacker xâm nhập vào “đầu vào” của sản phẩm thay vì tấn công trực diện người dùng.
Holdstation cho biết đang nâng cấp toàn bộ quy trình phát hành, bao gồm:
Vụ việc đang thu hút sự quan tâm lớn từ cộng đồng crypto Việt Nam, khi Holdstation là một trong những dự án ví DeFi có trụ sở tại TP.HCM.
Dự án cam kết tiếp tục cập nhật tiến độ điều tra trong thời gian tới.
Vương Tiễn
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
BTQ Technologies công bố nghiên cứu khai thác Bitcoin lượng tử: chi phí thực tế cực cao, rủi ro thực sự nằm ở lỗ hổng chữ ký
BTQ Technologies phát hành bài nghiên cứu, đánh giá chi phí vật lý của điện toán lượng tử trong hoạt động đào Bitcoin, nhấn mạnh rằng rủi ro chính của Bitcoin đến từ các lỗ hổng chữ ký mật mã chứ không phải việc khai thác bằng lượng tử. Nghiên cứu đề xuất một mô hình ước tính tài nguyên mã nguồn mở bao gồm các bước tính toán quan trọng.
GateNews32phút trước
Denaria bị tấn công bằng hợp đồng thông minh, thiệt hại khoảng 165k USD
Sàn giao dịch hợp đồng vĩnh viễn phi tập trung Denaria thông báo rằng hợp đồng thông minh của họ đã bị tấn công, gây thiệt hại khoảng 165k USD. Nhóm đang phối hợp với bên kiểm toán để điều tra và tạm dừng giao diện người dùng, chuẩn bị quy trình hoàn tiền. Denaria hy vọng thông qua lời mời thưởng để kêu gọi kẻ tấn công liên hệ nhằm tránh các hành động pháp lý.
GateNews1giờ trước
Trình xác thực XRPL phát cảnh báo cho người dùng XRP trước mối đe dọa lừa đảo qua kỹ thuật xã hội - U.Today
Thẩm định viên của XRP Ledger, Vet, cảnh báo cộng đồng XRP sau khi một vụ lừa đảo social engineering đã rút cạn $280 triệu từ Drift Protocol của Solana, nhấn mạnh sự cần thiết phải thận trọng và cảnh giác đối với các nhà xây dựng trước bối cảnh các lỗ hổng trong lĩnh vực crypto ngày càng gia tăng.
UToday3giờ trước
Luật sư cho biết vụ tấn công Drift Protocol trị giá 280 triệu USD có thể cấu thành lỗi dân sự
Luật sư Ariel Givner cho biết Drift Protocol đã gây ra sự kiện tấn công trị giá 280 triệu đô la do không tuân thủ các quy trình an toàn cơ bản, và điều này có thể cấu thành lỗi dân sự do cẩu thả. Kẻ tấn công đã lên kế hoạch trong 6 tháng, lợi dụng mối quan hệ tin cậy để đánh cắp thiết bị của nhà phát triển; hiện đã có quảng cáo cho một vụ kiện tập thể chống lại Drift đang được lan truyền.
GateNews12giờ trước
