2026年2月26日 – ベトナムに拠点を置くDeFAI Holdstationのスマートウォレットプロジェクト(WorldcoinとBNB Chain上に構築)は、2026年2月25日未明に深刻なサプライチェーン攻撃の被害を受けたことを確認しました。総被害額は462,000 USDTです。
これは2026年に入ってからの同プロジェクトの2回目のセキュリティインシデントで、1月の約10万ドルの流出に続くものです。
サプライチェーン攻撃:スマートコントラクトではなく配信インフラを狙う
公式発表によると、ハッカーはユーザーのウォレットやスマートコントラクトに直接侵入したわけではありません。Holdstationと監査会社のVerichainsは、スマートコントラクトは安全であると断言しています。
代わりに、攻撃者はアプリの配信インフラを狙いました。これは、ユーザーにアップデートを提供する部分です。
具体的には、ハッカーは以下の操作を行いました:
インフラを掌握した後、攻撃者は公式アプリのJavaScriptファイルを改ざんし、バックドアとしてマルウェアを埋め込みました。ユーザーがアプリを更新すると、意図せず感染したバージョンをインストールしてしまいます。
「静かに」資金引き出しの仕組み
マルウェアはインストール直後に動作するように設計されています。
その結果、感染したアップデートがリリースされてから数分以内に、多くのウォレットから資金が引き出されました。
Holdstationの緊急対応(30分以内)
公開されたタイムライン(UTC+7)によると:
その後、HoldstationはVerichainsと連携し、オンチェーンデータの分析と証拠収集を行い、調査を進めました。
現在までに確認された総被害額は462,000 USDTです。
ユーザーへの100%返金を約束
Holdstationは、影響を受けた資産の価値を100%補償することを約束しています。ユーザーは以下の公式フォームに記入してください:
https://forms.gle/9FriUzFWHx6ZPXCS7
チームはオンチェーンの検証とウォレット所有権の確認を行った後、返金を実施します。プロジェクトは、返金手続き中にシードフレーズやプライベートキー、手数料の請求を行わないことを強調しています。
セキュリティの教訓
この事件は、スマートコントラクトが安全であっても、ソフトウェア配信インフラの脆弱性が大きな損失を引き起こす可能性があることを示しています。これはサプライチェーン攻撃の一種であり、ハッカーは製品の「入口」に侵入し、直接ユーザーを攻撃するのではなく、配信経路を狙います。
Holdstationは、リリースプロセス全体のアップグレードを進めていると述べています。
この事件は、ホーチミン市に拠点を置くDeFiウォレットプロジェクトの一つとして、ベトナムの暗号通貨コミュニティから大きな関心を集めています。
今後も調査の進捗を随時更新していく予定です。
ヴォアン・ティエン
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
ビットコインの量子脅威が前倒しで到来?Googleが9分間のハッキングをシミュレーション、690万BTCが危険に
Googleの研究では、ビットコインを破るのに必要な量子ビットは50万未満である可能性があり、予想を大きく下回っています。これにより、約690万枚のビットコインが潜在的な脅威にさらされています。量子コンピューターは「9分」のうちに取引を傍受でき、特にTaprootのアップグレード後は、多くのウォレットが攻撃リスクにさらされています。これは暗号通貨業界に対し、量子の脅威にできるだけ早く備える必要があることを改めて示しています。
CryptoCity1時間前
Google量子研究の警告:ハッカーは9分でビットコインを破れる、攻撃効率は20倍に向上
Googleの量子人工知能のホワイトペーパーは、約50万量子ビットの量子コンピューターが9分以内にビットコインのECDSAアルゴリズムを解読でき、脅威レベルが大幅に上昇すると示しています。リスクは主に公開鍵がすでに露出している旧アドレスに集中しており、特に約230万枚のビットコインが高リスクにさらされています。業界では、セキュリティを強化するために2029年までにポスト量子暗号へアップグレードするよう呼びかけていますが、実現にはコンセンサス上の課題があります。
MarketWhisper1時間前
FRB理事のバル氏:ステーブルコインにはマネーロンダリングのリスクがある。GENIUS法案の枠組みがまもなく形成される予定だ
米連邦準備制度理事のマイケル・バールは、ステーブルコインの準備資産が直面するマネーロンダリングおよび金融の安定リスクに警告を発し、準備の品質が極めて重要だと強調した。ステーブルコインは、即時の国境を越えた決済などの面で優位性がある一方で、規制の不足が影響して危険を引き起こす可能性がある。「天才法案」の推進により、発行者は正式に登録し、等価の準備を保有することが求められ、市場の安定性が高まる。規制の詳細の実行は、米国のステーブルコイン市場の発展に直接影響する。
MarketWhisper2時間前
ゲントレット:Resolvは未公開の救済策を導入しておらず、複数の金庫市場を削除しました
ガントレットの投稿によると、Resolv Labsは脆弱性に遭遇した後に是正措置を提示しておらず、複数の金庫市場を削除しており、流動性は約1190万ドルに上る。また、資産の回収を目的として請求(クレーム)スマートコントラクトを設定する予定だ。
GateNews2時間前
Zcashは重要なセキュリティ脆弱性を修正し、かつて2万5千枚を超えるZECの安全を脅かす恐れがありました
Zcashのプライバシーコインは4月1日に、重要なセキュリティ脆弱性を修正しました。この脆弱性は悪意のあるマイナーに悪用され、廃止されたSproutプールから25,000枚以上のZECが移される可能性があります。脆弱性は2020年7月から存在していましたが、実際には悪用されていませんでした。開発チームは修正バージョンを公開しており、大手マイニングプールはすべてアップグレードを完了しています。さらに、Zcashの仕組みはインフレによる追加発行を防止し、総供給量の安全性を確保します。
GateNews2時間前
Magic Eden ウォレット 5/1 強制クローズ:ユーザーは期限内に秘密鍵をエクスポートする必要があり、さもないと資産は永久に消失します
Magic Edenは、そのネイティブウォレットが2026年5月1日に完全にサービスを停止すると発表しました。ユーザーは期限までに秘密鍵またはリカバリーフレーズをエクスポートする必要があり、さもない場合は資産へのアクセス権を失います。近頃、Magic Edenは事業を継続的に縮小し、SolanaエコシステムおよびiGamingプラットフォームDiceyへと転換し、さらにMEトークンのトークノミクスモデルを調整してプラットフォーム収益に連携させています。
動區BlockTempo2時間前
